Ce redacții se supun regulamentului general de protecție a datelor (GDPR)

May 30, 2018 • Economia mass media, Headlines, Media Digitale, Ultimele articole • by

Pentru cât de mult se vorbește despre impactul Regulamentului general de protecția datelor (GDPR) în diferite industrii, s-a discutat destul de puțin despre impactul asupra industriei de media  în sine.

Poate pentru că editorii sunt atât de încrezători în nivelul lor de pregătire : se pare că 64% se simțeau pregătiți pentru intrarea în vigoare a GDPR, la 25 mai. Proporția este uluitoare, având în vedere că mare parte a industriilor se află undeva între 15% și 30%.

Sau poate lipsa datelor analitice și optimismul curajos provin împreună dintr-un factor comun : percepția că nimic nu este cu adevărat nou în modul în care organizațiile de știri colectează și folosesc datele, și că nu se încadrează în întregime în modelul de aplicare a GDPR.  Acest mod de gândire ar fi însă o mare greșeală. De fapt, cele mai multe organizații de știri au în comun o serie de caracteristici care le transformă în țintă directă a GDPR și le forțează să respecte și cele mai stricte condiții din regulament.

(Pentru cei care au trăit sub o piatră în ultima vreme, GDPR este legea de protecție a datelor impusă de  Uniunea Europeană, ce mărește anvergura, amploarea și profunzimea drepturilor pe care companiile trebuie să le acorde clienților europeni, împreună cu penalizări mai stricte pentru încălcarea lor.)

Cazuri de utilizare a datelor personale într-o organizație de știri „tipică”

Pentru a înțelege cum afectează GDPR organizațiile de știri,  să trecem în revistă câteva presupuneri despre cum  funcționează o organizație „tipică” din punct de vedere al datelor personale.

La nivel de bază, cele mai multe, dacă nu chiar toate organizațiile de știri, funcționează pe două modele de business principale : abonamente și/sau publicitate targetată[1]. Ambele modele presupun procesarea de date personale ca funcție de bază, și ambele procesează date personale în mod regulat, de obicei prin procese automatizate ce trimit mailuri de marketing sau decid ce reclame să afișeze.  La un nivel superficial, aceste lucruri arată că o organizație de știri ar putea avea nevoie de funcțiuni GDR costisitoare, precum un angajat pentru protecția datelor și un istoric despre cum folosește compania datele utilizatorilor.

GDPR

O notificare automată ce informează utilizatorii în mod clar și concis asupra utilității fiecărei date personale la momentul colectării – ©Screenshot/BBC

Spre deosebire de alte sectoare în care firmele mai mici sunt de obicei scutite de aceste cerințe, chiar și organizațiile de știri mici riscă să aibă nevoie de aceste funcții. Acest lucru se datorează saturației regionale mari a datelor personale pe care le adună, ceea ce le-ar permite (lor, sau unui broker de date iscusit) să creeze profile bogate în informații pentru o mică demografie regională.

Comisia Europeană pare să aibă aceeași neliniște, întrucât ce înțelege prin procesare la „scară largă” cuprinde atât volum nelimitat de date personale procesate, cât și volum ca proporție a unei populații specifice. Iar dacă procesarea la „scară largă” se declanșează împreună cu procesarea automatizată regulată a datelor personale, atunci chiar și organizațiile mici, locale, vor avea probabil nevoie de toate noile funcții pentru conformitatea cu GDPR.

Colectarea, Identificarea profilului, Personalizarea

Din punct de vedere operațional, platformele de știri online demarează cu aceleași proceduri generale, indiferent de modelul de business.  Când dau click pe [sitedeștiri.ro], site-ul preia adresa mea IP și creează un ID de sesiune unic, care mă urmărește în timp ce folosesc site-ul. Încă dinainte să accesez siteul, identifică adresa inclusă în adresa mea IP și mă conduce la o versiune personalizată a paginii de start pentru regiunea mea. Apoi, navigând pe site, transmit organizației informații cu privire la interesele mele, ce pot fi folosite pentru a-mi recomanda articole și produse similare, sau reclame corelate în mod ambiguu.

În momentul de față, modelul de business al site-ului devine important pentru a determina ce elemente GDPR sunt declanșate. Dacă venitul meu provine din reclame targetate, atunci Regulamentul ePrivacy mă forțează să dau utilizatorilor posibilitatea de opt-out pentru cookie-urile inutile funcționării site-ului (de ex. majoritatea cookie-urilor aducătoare de bani, precum Google Analytics, DoubleClick sau Adsense).

Dacă funcționez pe un model bazat pe abonamente, cel mai probabil voi colecta mai multe tipuri de date personale – și sunt date mai sensibile. Times și Der Spiegel, de exemplu, solicită date dintr-o „categorie specială”, precum genul, pentru a înregistra un cont. (În mod interesant, BBC nu face acest lucru).

GDPR

O multitudine de trackere pe site-ul UK Business Insider – ©Screenshot

Adesea, datele personale adunate prin înregistrare (de ex. pentru newslettere)  sunt utilizate de procese automatizate pentru a personaliza pagini de start sau reclame și a trimite emailuri targetate. Dacă o oganizație de știri decide să combine procesarea automatizată cu categorii speciale de date (de ex. prin utilizarea câmpului aparent inofensiv Titulatură ca proxy pentru gen în algoritm, vezi mai jos), atunci intervine GDPR.

În loc să permită „șase motive legitime pentru procesare”, Articolul 22(4) din GDPR îndreaptă oranizațiile de știri spre unul singur : acordul explicit. Nu numai că acordul explicit devine mult mai greu de obținut sub GDPR, dar solicită inclusiv ca organizațiile să furnizeze câteva drepturi mai complicate din perspectiva implementării (cum ar fi ștergerea datelor).

GDPR

De pe pagina de înregistrare The Times (2 mai 2018). Observați lipsa de transparență în descrierea motivului pentru care au nevoie de informații – © Screenshot

Către  standarde de transparență mai performante

Dacă privim spre viitor bazându-ne pe trendurile din industrie, organizațiile de știri vor face tot mai mult obiectul GDPR. Pe măsură ce editorii încearcă să devină independenți față de modelele de business bazate pe publicitate și platformele third party[2], se vor baza tot mai mult pe personalizare și colectare puternică de profiluri pentru a atrage și păstra utilizatorii pe site-uri.  Prin urmare, vor trebui să devină mult mai transparenți cu privire la datele pe care le colectează și scopul acestora.

Aceasta mai înseamnă și că vor trebui să explice algoritmi momentan opaci pe care le utilizează pentru a personaliza paginile de start și a crea profilul utilizatorilor. Mai mult, vor trebui să se concentreze pe  mijloacele tehnice necesare pentru a oferi drepturi precum ștergerea datelor utilizatorilor sau posibilitatea de opt-out pentru cookie-uri. De asemenea, trebuie să determine dacă au nevoie de un angajat pentru protecția datelor sau de un istoric al activităților de procesare.

Dacă 64% din industria de știri din Europa a răspuns deja acestor considerații, atunci jos pălăria pentru ei. Altfel (pentru ceilalți 36%), recomand să treceți la treabă, pentru că aveți multe de făcut.

Traducere în limba română: Denisa Kovacs

Disclaimer :   Autorul lucrează pentru Sovy, un startup de tehnologie de reglementare. Opiniile exprimate în acest articol aparțin doar autorului și nu reflectă sau reprezintă opiniile EJO sau Sovy.

 

[1] Conform Newman (2018, p.5), aceste modele, alături de conținut branduit/sponsorizat, reprezintă cei mai importanți factori în sursa de venit a unei organizații de știri.

[2]  Vezi Newman (2018, p.5)

Tags:

Send this to a friend