Οι περισσότερες επιχειρήσεις δεν είναι έτοιμες για την εφαρμογή του GDPR, παρόλο που είναι περίπου ένας μήνας πριν από την πλήρη εφαρμογή του. Μια πρόσφατη έρευνα, διαπίστωσε ότι το 50% δεν θα μπορέσουν να συμμορφωθούν με το GDPR όταν τεθεί επίσημα σε εφαρμογή
Του Στέλιου Βαλτζή
Ενώ το GDPR επηρεάζει οργανισμούς ιδιωτικού και δημόσιου τομέα που χειρίζονται Δεδομένα Προσωπικού Χαρακτήρα (ΔΠΧ), υπάρχουν ορισμένοι που έχουν αυξημένη έκθεση τόσο ως αποτέλεσμα των όγκων δεδομένων ΔΠΧ που χειρίζονται όσο και ως προς τη φύση των επιχειρήσεων τους. Οι αγορές με υψηλούς δείκτες κινδύνου έκθεσης λόγω του GDPR περιλαμβάνουν:
- Λιανεμπόριο
• Φροντίδα υγείας
• Χρηματοπιστωτικές υπηρεσίες
• Ταξίδια, τουρισμός και φιλοξενία
• Φυσική και ηλεκτρονική ασφάλεια
• Μάρκετινγκ, διαφήμιση, αναζήτηση στο Internet και υπηρεσίες πληροφόρησης
• ΜΜΕ και τηλεπικοινωνίες
Σύμφωνα με τη Forrester, μια τυπική εμπορική μάρκα θα μπορούσε να χάσει το 20% των εσόδων της σε πρόστιμα λόγω παραβίασης των κανόνων που επιβάλλει το GDPR. Αλλά αυτό θα είναι μόνο ένα από τα πολλά θέματα που θα αντιμετωπίσουν οι επιχειρήσεις λόγω GDPR. Η Forrester αναμένει επίσης, ότι λόγω των περιορισμών που επιβάλλει ο GDPR, οι αλγόριθμοι πρόβλεψης και αναγνώρισης που συγχρονίζουν προσωπικά δεδομένα μεταξύ συσκευών θα οδηγήσουν σε δικαστικές έρευνες και πρόστιμα τους διαφημιστικούς γίγαντες, όπως η Google και το Facebook. Ο Forrester προβλέπει επίσης ότι ο GDPR θα μπορούσε να καταπνίξει την ενσωμάτωση της τεχνητής νοημοσύνης (AI) στις μεθόδους εμπορίου στην Ευρώπη και όχι μόνο.
Έχουν ειπωθεί και γραφτεί χιλιάδες άρθρα σχετικά με τις επιπτώσεις του Κανονισμού στην λειτουργία των επιχειρήσεων. Μια τυπική αναζήτηση στο Google με την εξής φράση: how GDPR will affect my company θα σας δώσει περισσότερα από 77.000 αποτελέσματα. Εμείς θα προσπαθήσουμε να κωδικοποιήσουμε τις επιπτώσεις του Κανονισμού στην συμπεριφορά της Αγοράς αλλά και εκάστου ημών ως τελικών χρηστών, μέσα από κάποιες προβλέψεις, είτε θετικές είτε αρνητικές.
- Ο GDPR θα είναι το Y2K του 2018
Πολλές εταιρείες διαφημίζουν την ετοιμότητά τους για την εφαρμογή του GDPR, αλλά πίσω από τις κλειστές πόρτες υπάρχει μεγάλη αβεβαιότητα σχετικά με τη δυνατότητα συμμόρφωσης με αυτές τις νέες και απίστευτα αυστηρές κατευθυντήριες γραμμές. Ενώ ο GDPR δεν θα οδηγήσει στην ίδια δημόσια υστερία με το Y2K, οι επαγγελματίες του τομέα που ζήσαμε το πρόβλημα του Y2K, τις μεταπτώσεις και τις τροποποιήσεις στις αρχές της χιλιετίας, ήδη αισθανόμαστε το déjà vu. - Έρχονται εξαγορές και συγχωνεύσεις
Ο κανονισμός θεσπίζει την αλυσίδα ευθύνης για τα δεδομένα και μια νέα προσέγγιση για τη συγκατάθεση που θα διαταράξει το σύμπλεγμα της τεχνολογίας Adtech. Σύμφωνα με τους νέους κανόνες, θα είναι παράνομο για τις εταιρείες οπουδήποτε στον κόσμο να μεταβιβάσουν τις προσωπικές πληροφορίες ενός ευρωπαίου χρήστη σε άλλη εταιρεία ή να αποθηκεύσουν τα δεδομένα αυτά χωρίς την ύπαρξη επίσημης σύμβασης με τον “υπεύθυνο επεξεργασίας δεδομένων” που θα καθορίζει τα όρια και τον τρόπο με τον οποίο τα δεδομένα μπορούν να χρησιμοποιηθούν. Μια εταιρεία που χρησιμοποιεί προσωπικά δεδομένα πέραν αυτών των ορίων θα πρέπει να λάβει συγκατάθεση από τους χρήστες για να το πράξει ή κατά περίπτωση θα πρέπει να ενημερώσει τους χρήστες για το τι κάνει με τα δεδομένα αυτά και να επιτρέπει στον χρήστη να ανακαλέσει οποιαδήποτε στιγμή την άδεια αξιοποίησης των δεδομένων του με αυτόν τον τρόπο.
Οι χρήστες πρέπει να ενημερώνονται “ξεκάθαρα και ξεχωριστά από κάθε άλλη πληροφορία”. Αυτό καθιστά δύσκολο – ίσως αδύνατο – για τις περισσότερες εταιρείες adtech να συμμορφωθούν, επειδή δεν έχουν άμεσες σχέσεις με τους χρήστες. Αν και υπάρχουν συζητήσεις σε κάποιες ρυθμιστικές αρχές να θεωρούν ως επιτρεπτό λόγο για να μην ενημερώσουν τους χρήστες αυτή την έλλειψη ενημέρωσης, είναι μάλλον απίθανο τελικά να γίνει μια τέτοια ρύθμιση αποδεκτή καθώς παρακάμπτει σχεδόν το σύνολο της συλλογιστικής του GDPR.
Αντίθετα, η έλλειψη σχέσεων των adtech με τους χρήστες θα καταστήσει τις άμεσες σχέσεις που ψηφιακά μέσα, όπως τα κοινωνικά δίκτυα, απολαμβάνουν με τους χρήστες εξαιρετικά πολύτιμες. Αυτό μπορεί να οδηγήσει σε συγχωνεύσεις και εξαγορές μεταξύ των ψηφιακών μέσων και των εταιριών adtech. Το Facebook είναι ήδη κάθετα ολοκληρωμένο με αυτόν τον τρόπο. Έχει μια άμεση σχέση με τους χρήστες και την υποδομή για να στοχεύσει και να προβάλει διαφημίσεις και επομένως είναι εξαιρετικά εύκολο να υλοποιήσουν μηχανισμούς λήψης συγκατάβασης, opt-in κ.λπ. Είναι επίσης πιθανό τα ψηφιακά μέσα και οι πάροχοι υπηρεσιών να γίνουν εξαιρετικά επιφυλακτικοί όσον αφορά την επιτρεπόμενη χρήση των trackers και του JavaScript από τρίτους στις ιστοσελίδες τους, επειδή ενδέχεται να προκύψει συνυπευθυνότητα για παραβάσεις που ίσως προκύψουν.
- Η συμπεριφορά των χρηστών πιθανότατα θα αλλάξει.
Ο μέσος χρήστης δεν γνωρίζει πώς τα τρίτα μέρη χειρίζονται τις προσωπικές του πληροφορίες. Αυτό είναι πιθανό να αλλάξει ως αποτέλεσμα δύο μέτρων που περιέχονται στο GDPR. Πρώτον, ο κανονισμός απαιτεί στις περισσότερες (ίσως όλες) περιπτώσεις να παρέχεται εξαντλητικός βαθμός λεπτομέρειας στους χρήστες σχετικά με τον τρόπο χρήσης των προσωπικών τους πληροφοριών από κάθε μέρος που επιθυμεί να τα χρησιμοποιήσει και προβλέπει τη δημιουργία εικονογραφίας για τη συνοπτική επεξήγηση της χρήσης των δεδομένων, τους κινδύνους και τα δικαιώματα σε απλή γλώσσα. Δεύτερον, ο κανονισμός κατοχυρώνει το δικαίωμα πρόσβασης ενός χρήστη σε όλες τις προσωπικές πληροφορίες που κατέχει μια εταιρεία σχετικά με αυτόν.
Μέχρι στιγμής, οι περισσότεροι χρήστες έχουν την τάση να προτιμούν την ευκολία έναντι της ιδιωτικής ζωής. Αυτό μπορεί να αλλάξει ιδίως υπό την σκιά του γνωστού πλέον σκανδάλου της Cambridge Analytica. Το GDPR μπορεί να εκπαιδεύσει τους χρήστες για το βαθμό στον οποίο παρακολουθείται η συμπεριφορά τους στο ίντερνετ, τον τρόπο με τον οποίο χρησιμοποιούνται τα δεδομένα και πόσο συχνά κλέβονται. Το αποτέλεσμα όμως θα μπορούσε να είναι ένα κύμα άρνησης ή αναίρεσης της συγκατάθεσης παροχής/επεξεργασίας των προσωπικών δεδομένων. Ενδέχεται λοιπόν αρκετοί χρήστες να αντιδράσουν ιδιαίτερα αρνητικά ιδιαίτερα απέναντι στις επιχειρήσεις που κατέχουν τα δεδομένα τους, αλλά δεν έχουν καμία άμεση σχέση μαζί τους.
Εάν συμβεί κάτι τέτοιο, θα παρακινήσει τους χρήστες να εκμεταλλευτούν τις νέες ευκαιρίες για να εξαιρεθούν από την παρακολούθηση, διαταράσσοντας σημαντικά τη ψηφιακή διαφήμιση.
- Οι επιθέσεις ransomware σε επιχειρήσεις θα αποτελέσουν σημαντική τάση
Οι εν λόγω επιθέσεις ήρθαν στο προσκήνιο το 2017 με τις επιδημίες κακόβουλων προγραμμάτων WannaCry, NotPetya και BadRabbit που με επιτυχία έθεσαν επιχειρήσεις εκτός λειτουργίας για ημέρες και σε ορισμένες περιπτώσεις, ακόμη και εβδομάδες.
Ενώ είναι κατά κύριο λόγο καταστροφικές και όχι πραγματικά ransomware στη φύση, οι επιθέσεις αυτές τόνισαν το ενδεχόμενο οι εγκληματικές ομάδες να κρατήσουν ολόκληρα δίκτυα ομήρους, ενώ ταυτόχρονα απαιτούν εκατομμύρια δολάρια σε λύτρα από επιχειρήσεις προκειμένου να ξαναρχίσουν τη λειτουργία τους. Τέτοιου τύπου επιθέσεις σε βάσεις προσωπικών δεδομένων ενδέχεται να αποτελέσουν μια σημαντική τάση μεταξύ των ομάδων ηλεκτρονικού εγκλήματος το 2018.
- O GDPR επιφέρει σημαντικές αλλαγές στην τεχνολογία αποθήκευσης των δεδομένων
Ίσως το μεγαλύτερο ζήτημα της βιομηχανίας αποθήκευσης είναι η διαχείριση των δεδομένων. Το GDPR είναι η πιο ευρεία αλλαγή στην προστασία των δεδομένων τα τελευταία 20 χρόνια, οι εταιρείες θα πρέπει να αποδείξουν τη συμμόρφωσή τους όσον αφορά τη διαχείριση, την αποθήκευση και την ανταλλαγή δεδομένων, ανεξάρτητα από το μέγεθος τους. Επίσης θα πρέπει να αναφέρουν τις παραβιάσεις δεδομένων εντός 72 ωρών από την ανίχνευση τους.
Ένα από τα σημαντικά θέματα είναι και το άρθρο 17, το οποίο επιτρέπει στο χρήστη να διαγράψει τα δεδομένα του (δικαίωμα στην λήθη), γεγονός που θα αυξήσει τη ζήτηση για λύσεις αποθήκευσης και διαχείρισης δεδομένων. Ειδικά για το δικαίωμα στην λήθη, συντρέχουν πολλοί λόγοι ειδικής μεταχείρισης των δεδομένων καθώς όπως τονίζουν νομικοί, το δικαίωμα αυτό δεν θα πρέπει να αντιβαίνει σε άλλες νομικές ρυθμίσεις που επιβάλλουν την αποθήκευση δεδομένων για συγκεκριμένο ελάχιστο χρόνο. Συνολικά, η εφαρμογή του κανονισμού αναμένεται να αλλάξει την στρατηγική επιλογής λύσεων αποθήκευσης δεδομένων, με περισσότερη έμφαση σε λύσεις που θα είναι ενημερωμένες, θα διαθέτουν ένα ικανοποιητικό επίπεδο προστασίας έναντι ransomware και θα επιτρέπουν την δημιουργία εσόδων αξιοποιώντας τα δεδομένα, με πλήρη συμμόρφωση στον κανονισμό, ιδίως στην περίπτωση αποθηκευτικών υπηρεσιών cloud.
- Τα ξενοδοχεία είναι πιο ευάλωτα σε παραβιάσεις.
Σε πρόσφατη διεθνή έρευνα για την αξιολόγηση του βαθμού ετοιμότητας διαφόρων τομέων οικονομίας, η ξενοδοχειακή βιομηχανία φάνηκε να είναι πιο ευάλωτη στην παραβίαση δεδομένων σε σχέση με άλλους τομείς όπως το λιανεμπόριο. Το 67% των ερωτηθέντων απάντησε ότι υπήρξε κλοπή δεδομένων προσωπικού χαρακτήρα από ξενοδοχειακές επιχειρήσεις. Παρόλο που καμία από τις περιοχές όπου σημειώθηκε παραβίαση δεδομένων σε ξενοδοχειακές επιχειρήσεις υπήρχε στην ΕΕ, υπάρχει μεγάλη πιθανότητα τα δεδομένα να ανήκαν σε πρόσωπα της ΕΕ. Ενώ τα περιστατικά που αφορούν μεγάλες ξενοδοχειακές αλυσίδες είναι πιο πιθανό να φτάσουν στον Τύπο, παραβιάσεις δεδομένων μπορεί να συμβούν σε οποιοδήποτε ξενοδοχείο, ανεξάρτητα από το μέγεθός του.
Σύμφωνα με την έκθεση της Verizon, η βιομηχανία ξενοδοχείων αντιπροσωπεύει έναν από τους υψηλότερους αριθμούς παραβιάσεων σε οποιοδήποτε τομέα και έχει τον υψηλότερο όγκο απολεσθέντων δεδομένων. Η Verizon αναφέρει ότι αυτό δεν είναι έκπληξη, δεδομένου ότι επεξεργάζεται πληροφορίες που είναι ιδιαίτερα επιθυμητές για τους εγκληματίες με οικονομικά κίνητρα.
Στο σημείο αυτό, ο υπογράφων θα ήθελε να τονίσει το σημαντικό ρόλο του social engineering στην παραβίαση και κλοπή δεδομένων προσωπικού χαρακτήρα σε ξενοδοχειακές μονάδες, με κλασσικό παράδειγμα αντιμετώπισης την ειδική εκπαίδευση που υποβλήθηκε το προσωπικό του Caesars Palace στο Las Vegas στο οποίο φιλοξενήθηκε η διοργάνωση της DefCon το 2017.
- H ποιότητα του marketing θα βελτιωθεί
Ο Κανονισμός επιβάλει την ξεκάθαρη συγκατάθεση χρησιμοποίησης των δεδομένων ενός προσώπου και δίνει το δικαίωμα σε κάθε πρόσωπο να αποκτήσει γνώση των δεδομένων που υπάρχουν στις βάσεις κάθε εταιρίας και του τρόπου αξιοποίησης τους. Αν και είναι γενική αντίληψη ότι αυτό θα οδηγήσει σε απώλεια της πρόσβασης σε σημαντικά τμήματα του πληθυσμού για προωθητικές ενέργειες, οι επαγγελματίες μάρκετινγκ έχουν και ένα λόγο να χαίροντα για την εφαρμογή του κανονισμού.
Η θετική επίπτωση συνίσταται στο ότι αντί για απλή συγκατάθεση τύπου Ναι/Οχι, όταν θα ζητείται η συγκατάθεση εκάστου χρήστη, θα είναι δυνατή και η ενταξη του σε κατηγορίες που θα σχετίζονται είτε με κάθετες αγορές, είτε με συγκεκριμένες συμπεριφορές, είτε με οποιαδήποτε άλλη δυνατότητα κατάταξης μπορεί να ενδιαφέρει το marketing.
Με τον τρόπο αυτό, όχι μόνο εξασφαλίζεται η συμμόρφωση με τον Κανονισμό αλλά επιτρέπει και την καλύτερη δόμηση των δεδομένων, αυξάνοντας έτσι την ποιότητα των στοιχείων που κρατούνται και άρα την βελτιστοποίηση των στρατηγικών marketing – πλέον δεν θα έχουν νόημα καμπάνιες τύπου “one size fits all”.
Σημαντικό ρόλο στην βελτίωση της ποιότητας του marketing παίζει και το δικαίωμα στην λήθη, το οποίο με την σειρά του και σε συνδυασμό με το σύνολο των υποχρεώσεων που απορρέουν από την εφαρμογή του GDPR οδηγεί στην επόμενη και τελευταία πρόβλεψη:
- Η ενοποίηση των Βάσεων Δεδομένων θα αποφέρει σημαντικά κέρδη στους παρόχους σχετικών υπηρεσιών
Η υποχρέωση των επιχειρήσεων να μπορούν να ενημερώσουν άμεσα και με ακρίβεια τον όποιο χρήστη το επιθυμεί για το τί δεδομένα διαθέτουν για το εν λόγω πρόσωπο και πως τα εκμεταλλεύονται, καθώς και το δικαίωμα στην λήθη, σε συνδυασμό με τις νομικές υποχρεώσεις που απορρέουν από την ανάγκη φύλαξης στοιχείων ακόμα κι αν κάποιος εξασκήσει το δικαίωμα στην λήθη, θα επιβάλει την υλοποίηση λύσεων μοναδικής υποδομής, ώστε η διαχείριση των δεδομένων να είναι κατά το δυνατό ολοκληρωμένη και προστατευμένη αλλά και η εξάσκηση των δικαιωμάτων εκάστου χρήστη να μην δημιουργεί επιπλέον φόρτο στο προσωπικό των επιχειρήσεων.
Συνεπώς, σε επιχειρήσεις όπως αυτές που δραστηριοποιούνται στο Marketing, η ύπαρξη ενός μοναδικού CRM και μιας ενοποιημένης βάσης δεδομένων, όπου θα φυλάσσονται μεταξύ άλλων και η συγκατάθεση εκάστου προσώπου, θα είναι μονόδρομος.
Η ύπαρξη μιας ενοποιημένης υποδομής διασφαλίζει ότι κάθε πρόσωπο θα μπορεί να μεταβάλλει δυναμικά την συγκατάθεσή του, ανάλογα με τις ανάγκες του. Αυτό με την σειρά του θα δώσει την δυνατότητα να υπάρχει πιο ακριβής καταγραφή των προτιμήσεων και αναγκών κάθε προσώπου αυξάνοντας με την σειρά της την ποιότητα του marketing. Φυσικά για να φτάσει κάποια επιχείρηση στο επίπεδο αυτό θα πρέπει πιο πριν να έχει τονώσει τον προϋπολογισμό μιας εταιρίας συμβούλων και παροχών υπηρεσιών ενοποίησης των βάσεων δεδομένων.