Σε πυρετώδεις προετοιμασίες για τους νέους κανόνες προστασίας δεδομένων της Ε.Ε που θα τεθούν σε ισχύ το επόμενο έτος βρίσκονται ήδη οι εταιρείες του κλάδου τεχνολογίας. Έρευνα των Financial Times έδειξε ότι ο κλάδος σπεύδει να προσλάβει νέο προσωπικό και να ανασχεδιάσει προϊόντα, αντιμετωπίζοντας αύξηση του κόστους κατά εκατομμύρια δολάρια και πιθανή απώλεια εσόδων.
Ο νέος γενικός κανονισμός προστασίας δεδομένων (GDPR) θα τεθεί σε εφαρμογή τον ερχόμενο Μάιο και θα απαιτεί από τις επιχειρήσεις αυστηρότερα στάνταρ στη διαχείριση των δεδομένων πελατών.
Οι Financial Times ήρθαν σε επαφή με τις μεγαλύτερες εταιρείες στους κλάδους social media, λογισμικού, FinTech και Internet που έχουν δραστηριότητες στην Ε.Ε και πραγματοποίησε σχετική έρευνα.
Το Facebook ήταν μία από τις τρεις εταιρείες που είπαν ότι, η αρχική συμμόρφωση με το νέο κανονισμό θα κοστίσει αρκετά εκατομμύρια δολάρια. Άλλες εταιρείες είπαν ότι αναγκάζονται να προσλάβουν πρόσθετο προσωπικό και συμβούλους, για να εφαρμόσουν αλλαγές που θα επιτρέπουν στους πελάτες τους να διαγράφουν πληροφορίες τους ή να τις εξάγουν σε μορφή συμβατή με υπηρεσίες ανταγωνιστών τους.
Παρότι τα κόστη είναι μικρά σε σχέση με τον παγκόσμιο ετήσιο τζίρο των πολυεθνικών εταιρειών, οι όμιλοι τεχνολογίας λένε ότι ο GDPR μπορεί να είναι μία από τις ακριβότερες ρυθμιστικές νομοθεσίες στην ιστορία του κλάδου.
Όπως είπε εκπρόσωπος του Facebook, η εταιρεία έχει δημιουργήσει τη μεγαλύτερη διαλειτουργική ομάδα στην ιστορία της. Δεκάδες άνθρωποι στη Facebook Ιρλανδίας εργάζονται πυρετωδώς για το εγχείρημα και η ομάδα προστασίας δεδομένων θα αυξηθεί κατά 250% φέτος για το GDPR. Εάν υπολογιστούν ο χρόνος που εργάζονται υπάρχουσες ομάδες, η έρευνα, οι νομικές προβλέψεις και το γεγονός ότι στην όλη διαδικασία απασχολούνται και ομάδες της παραγωγής και τεχνικά τμήματα, το κόστος εκτιμάται σε εκατομμύρια δολάρια, άγνωστο μέχρι στιγμής πόσα.
Στην Ε.Ε τα έσοδα της αγοράς «νομισματοποίησης» δεδομένων ανήλθαν σε 59,5 δισ. ευρώ το 2016, σύμφωνα με έρευνα που πραγματοποίησαν για την Κομισιόν η IDC και η Open Evidence. Και αυτή είναι η «ραχοκοκκαλιά» ενός τεχνολογικού κλάδου που στρέφεται αυξητικά στις προσωπικές πληροφορίες για ιδέες νέων προϊόντων και διαφημιστικά έσοδα.
Ωστόσο, το GDPR θα αλλάξει δραστικά το πώς αυτά τα δεδομένα θα μπορούν να συλλέγονται, να αποθηκεύονται και να διαγράφονται. Ο κανονισμός θα απαιτεί από τις επιχειρήσεις να ζητούν τη ρητή συγκατάθεση του καταναλωτή πριν χρησιμοποιήσουν τις προσωπικές πληροφορίες του. Επίσης, θα επιβάλλει αυστηρή προθεσμία 72 ωρών για την αναγνώριση και αναφορά παραβιάσεων στην ασφάλεια των δεδομένων.
Οι καταναλωτές θα έχουν το δικαίωμα «να ξεχαστούν» και να αποσύρουν τη συγκατάθεσή τους, που σημαίνει ότι τα δεδομένα τους θα πρέπει να διαγραφούν εντελώς από τους servers των εταιρειών.
Αυτό θα προκαλέσει προβλήματα στις τεχνολογικές εταιρείες που μοιράζονται δεδομένα, όπως και στους παρόχους υπηρεσιών cloud, όπως οι Microsoft, Amazon, IBM και –φυσικά- στη Google, οι οποίες «φιλοξενούν» πληροφορίες σε κέντρα δεδομένων για λογαριασμό άλλων εταιρειών.
Οι περισσότερες εταιρείες cloud υπηρεσιών είναι απροετοίμαστες, διότι μέχρι τώρα τα δεδομένα πελατών ήταν ευθύνη κυρίως των “data controllers” –εταιρειών που συλλέγουν προσωπικές πληροφορίες- και όχι τόσο των “data processors” που παρέχουν υπηρεσίες με αυτές.
Για τους παρόχους cloud το πρόβλημα είναι μεγάλο, καθώς επεξεργάζονται πληροφορίες πελατών είτε τις γνωρίζουν, είτε όχι. Μέχρι τώρα οι περισσότεροι πάροχοι cloud δεν είχαν λόγο –και δεν ήθελαν- να γνωρίζουν τί είδους πληροφορίες κρατούν.
Ο νέος κανονισμός θα εξουσιοδοτεί την αρμόδια ρυθμιστική αρχή να επιβάλλει στις εταιρείες πρόστιμα 20 εκατ. ευρώ ή έως 4% του συνολικού τζίρου τους στην τελευταία χρήση –ό,τι είναι υψηλότερο!
Οι κανονισμοί θα εισαχθούν και στη βρετανική νομοθεσία μετά το Brexit.
Μόνο έξι από τις εταιρείες με τις οποίες ήρθαν σε επαφή οι Financial Times στην έρευνά τους –οι Facebook, Microsoft, TransferWise, Funding Circle, HPE και Cisco- επιβεβαίωσαν ότι έχουν μέλος του διοικητικού τους συμβουλίου άμεσα υπεύθυνο για τη συμμόρφωση με τους κανίνες ιδιωτικότητας των δεδομένων, κάτι που οι ρυθμιστικές αρχές θεωρούν έναν ικανοποιητικό βαθμό ετοιμότητας για το GDPR.
