Με στόχο την ενίσχυση της ασφάλειας των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες αλλά και τη δημιουργία νέων επιχειρηματικών ευκαιριών, η Κομισιόν κατέθεσε πρόσφατα νέο νομοθετικό σχέδιο, με στόχο όπως αναφέρει την επικαιροποίηση των υφιστάμενων κανόνων, επεκτείνοντας τη σφαίρα επιρροή τους σε όλο το φάσμα των παρόχων ηλεκτρονικών επικοινωνιών.

Οι νομοθέτες στοχεύουν επίσης όπως λένε στη δημιουργία νέων δυνατοτήτων επεξεργασίας επικοινωνιακών δεδομένων και στην ενδυνάμωση της εμπιστοσύνης και της ασφάλειας στο πλαίσιο της ευρωπαϊκής στρατηγικής για την Ενιαία Ψηφιακή Αγορά. Το περιεχόμενο της νέας οδηγίας ePrivacy ανακοινώθηκε στις 10 Ιανουαρίου 2017 και προκάλεσε άμεσα έντονες αντιδράσεις από την πλευρά των θεσμικών φορέων του ψηφιακού οικοσυστήματος.

Η πρόταση της νέας οδηγίας τίθεται πλέον στην κρίση του Ευρωκοινοβουλίου και του Ευρωπαϊκού Συμβουλίου, με προοπτική να εγκριθεί και να τεθεί σε εφαρμογή μέχρι τις 25 Μαΐου του 2018. Τότε, τίθεται επίσης σε εφαρμογή και το νεότευκτο κανονιστικό πλαίσιο, General Data Protection Regulation.

Γιατί ανησυχούν οι θεσμικοί φορείς;
Η Ευρωπαϊκή Ένωση Εταιρειών Επικοινωνίας, EACA, κάνει λόγο για σοβαρές επιπτώσεις στην ανταγωνιστικότητα της Ευρωπαϊκής, data-driven διαφημιστικής αγοράς. Σύμφωνα με την EACA, για να υποστηριχθεί η ζωτικότητα της ενιαίας ψηφιακής αγοράς με την ύπαρξη ανταγωνιστικών ευρωπαϊκών εταιρειών, η Οδηγία πρέπει να επανεξετασθεί διεξοδικά. Όπως επισημαίνει η Ένωση, η προσέγγιση της Κομισιόν δεν λαμβάνει υπόψη την πραγματικότητα της αγοράς δεδομένων και μπορεί να οδηγήσει στην περαιτέρω συγκέντρωση δεδομένων από λίγες και μεγάλες εταιρείες, αποκλείοντας άλλες επιχειρήσεις

από τον ανταγωνισμό. «Στην τεχνολογικά ενδυναμωμένη οικονομία του 21ου αιώνα η δυνατότητα συλλογής και επεξεργασίας δεδομένων με υπεύθυνο και νόμιμο τρόπο αποτελεί κλειδί ανταγωνιστικού πλεονεκτήματος», αναφέρει χαρακτηριστικά, ενώ εκφράζει την απογοήτευσή της για το γεγονός ότι η νέα Οδηγία χάνει την ευκαιρία ευθυγράμμισης των προτεινόμενων κανόνων προστασίας προσωπικών δεδομένων με το νεότευκτο ρυθμιστικό πλαίσιο General Data Protection Regulation (GDPR), το οποίο χρειάστηκε χρόνια διαβουλεύσεων για να συμφωνηθεί. Κάποιες από τις διαχρονικής αξίας λύσεις που περιλαμβάνονται εκεί (όπως το νομικό πλαίσιο για την επεξεργασία δεδομένων και το concept των ψευδώνυμων data), περιορίζονται σημαντικά ή απλά αγνοούνται εντελώς στην Οδηγία ePrivacy.

Ποια είναι όμως «η ψηφιακή πραγματικότητα» που αγνοεί η νέα Οδηγία και ποιοι οι κίνδυνοι που εγκυμονεί για την αγορά επικοινωνίας; Απευθυνθήκαμε στην ίδια την EACA και στον υπεύθυνο Public Affairs της Ένωσης αναζητώντας τις σχετικές απαντήσεις. Παράλληλα, ζητήσαμε την άποψη και του έτερου πόλου του ψηφιακού οικοσυστήματος, των publishers, μέσα από την άποψη του IAB Europe.

Προς νέο «μονοπώλιο» δεδομένων;
Όπως επισημαίνει ο Stevan Randje-lovic European Affairs Manager της EACA, η «πραγματικότητα της αγοράς δεδομένων» που δεν λαμβάνει υπόψη της η νέα πρόταση οδηγίας της Κομισιόν έχει να κάνει με τον έλεγχο τεράστιων όγκων δεδομένων από λίγες παγκόσμιες εταιρείες τεχνολογίας. «Λειτουργούν ως συλλέκτες και επεξεργαστές δεδομένων first party και συλλέγουν πολλά καταναλωτικά δεδομένα μέσω των consumer-facing υπηρεσιών τους, οι οποίες συχνά απαιτούν κάποιο log-in (προφίλ στα social media, αναζητήσεις κλπ). Αυτή είναι μια τάση που μόνον να ενταθεί μπορεί με τον πολλαπλασιασμό των υπηρεσιών αυτών των εταιρειών, χάρη στις οποίες οι εταιρείες αυτές θα εξακολουθήσουν να αποκτούν όλο και περισσότερα καταναλωτικά δεδομένα».

Σύμφωνα με τον ίδιο, η πρόταση της οδηγίας ePrivacy μπορεί να οδηγήσει στον πλήρη αποκλεισμό εκείνων των data providers που δεν έχουν απευθείας σχέση με τον καταναλωτή και γι’ αυτό δεν μπορούν να αποκτήσουν απευθείας συγκατάθεση. Αποτέλεσμα μπορεί να είναι η ενδυνάμωση της συλλογής δεδομένων από τις παγκόσμιες εταιρείες τεχνολογίας. Να συνεχίσουν δηλαδή να λαμβάνουν πολλά δεδομένα, ενώ ο ανταγωνισμός τους θα ασφυκτιά λόγω αυτής της Οδηγίας. 

Ποιές μπορεί να είναι οι επιπτώσεις για την αγορά της επικοινωνίας;
Σύμφωνα με την EACA, κάποιες παγκόσμιες εταιρείες έχουν ήδη ισχυρή (εάν όχι κυρίαρχη) θέση στην ψηφιακή διαφημιστική αγορά. Όπως επισημαίνει ο S. Randjelovic , εάν η Κομισιόν επιμείνει στη λογική του «opt-in» από την πλευρά του καταναλωτή ως μέσο επεξεργασίας των δεδομένων του από τις εταιρείες, πολλοί 3rd party data providers θα μείνουν «στα κρύα του λουτρού», που σημαίνει ότι δεν θα μπορούν νόμιμα να επεξεργάζονται τα καταναλωτικά δεδομένα για την ψηφιακή διαφήμιση.  Με αυτό τον τρόπο, η ψηφιακή διαφήμιση θα εξαρτάται όλο και περισσότερο από λίγες εταιρείες οι οποίες θα εξακολουθήσουν να έχουν τη δυνατότητα παροχής δεδομένων υψηλής ποιότητας. Από την άλλη πλευρά, οι 3rd party data providers μπορεί να μην είναι σε θέση να προσφέρουν στους διαφημιζόμενους δεδομένα ίδιας ποιότητας. Αυτό μπορεί να επηρεάσει την κοστολόγηση της ψηφιακής διαφήμισης, αλλά κυρίως την «υγεία» και ανταγωνιστικότητα της ψηφιακής διαφημιστικής αγοράς.

Η οδηγία ePrivacy αναιρεί το πλαίσιο GDPR;
Η EACA κάνει λόγο για απώλεια ευκαιρίας ευθυγράμμισης με το πλαίσιο του General Data Protection Regulation. Όπως μας εξηγεί ο S. Randjelovic, πέραν της υποχρέωσης για ξεκάθαρη συγκατάθεση του χρήστη στην επεξεργασία των δεδομένων του, το πλαίσιο GDPR προσφέρει και κάποια ακόμη έννομα ερείσματα επεξεργασίας δεδομένων. «Ένα από αυτά, είναι το έννομο συμφέρον των business providers. Η Οδηγία ePrivacy διαγράφει τη βάση του έννομου συμφέροντος και μας αφήνει μόνον με τη συγκατάθεση του χρήστη. Επιπλέον, το πλαίσιο GDPR προσφέρει συγκεκριμένα κίνητρα σε εκείνους τους business providers που χρησιμοποιούν ψευδώνυμα data. Φυσικά, υπάρχουν και άλλα κενά, αλλά θεωρούμε αυτά τα δύο ως τα πιο σημαντικά, καθώς αφαιρούν την ευελιξία που έχει ανάγκη η αγορά».


Οι ρυθμιστικές προκλήσεις για τη διαφήμιση το 2017
Το 2017 αναμένεται να είναι «θερμό» όσον αφορά σε «μάχες» επί ρυθμιστικών θεμάτων σε επίπεδο Βρυξελλών, για τη διαφήμιση και επικοινωνία στην Ευρώπη. Σύμφωνα με την EACA (European Association of Communication Agencies), η πίεση σε ρυθμιστικό επίπεδο
είναι αρκετά έντονη για τη διαφημιστική αγορά και τέσσερα είναι τα βασικά ζητήματα που θα κυριαρχήσουν:
– Privacy: Η Οδηγία ePrivacy, που καλείται να ρυθμίσει τον τρόπο πρόσβασης σε δεδομένα και αποθήκευσής τους (πχ cookies), προτείνει πολύ αυστηρούς κανόνες δίνοντας περισσότερο έλεγχο στους καταναλωτές, αλλάζοντας όμως παράλληλα τη διαδικασία επεξεργασίας δεδομένων 3rd party.
– General Data Protection Regulation: Το 2017 τα agencies θα πρέπει να καταβάλουν σημαντική προσπάθεια ώστε να συμμορφωθούν πλήρως με τις απαιτήσεις του General Data Protection Regulation (GDPR), με deadline τον Μαϊο του 2018.
– Διαφήμιση ποτών & τροφίμων: Η συζήτηση για την Οδηγία Audiovisual και τον τρόπο με τον οποίο ρυθμίζει τη διαφήμιση αλκοολούχων και τροφίμων, εντείνεται. Υπάρχει αυξανόμενη πίεση από καταναλωτές και MKO για σημαντικό περιορισμό της έκθεσης παιδιών σε διαφήμιση τροφίμων, με τα προϊόντα υψηλής περιεκτικότητας σε ζάχαρη και αλάτι στο επίκεντρο.
– Consumer Protection: Η Ευρωπαϊκή Επιτροπή προτίθεται να συνεχίσει την αξιολόγηση του ρυθμιστικού πλαισίου προστασίας των καταναλωτών. Η «άσκηση» αυτή έχει μεγάλη σημασία, καθώς θα καθορίσει εάν και πως θα επαναπροσδιοριστούν έννοιες όπως «ευάλωτοι καταναλωτές» (πχ παιδιά), «παραπλανητική διαφήμιση», «οικολογικοί προϊοντικοί ισχυρισμοί», κ.ά.

Matthias Matthiesen, IAB Europe
«Η Οδηγία ePrivacy θα μπορούσε να σημάνει το τέλος του 3rd party advertising»
Ο Senior Manager, Privacy & Public Policy του IAB Europe, απαντά στις ερωτήσεις μας για το περιεχόμενο της νέας προτεινόμενης οδηγίας ePrivacy. Όπως επισημαίνει, οι κίνδυνοι για το ψηφιακό οικοσύστημα αλλά και για την εμπειρία των χρηστών είναι πολλοί και ορατοί…

MW: Ο IAB Europe επέκρινε μάλλον σφοδρά τη νέα πρόταση. Ποια είναι τα κύρια σημεία με
τα οποία διαφωνεί ο IAB Europe και γιατί;
Matthias Matthiesen:
Η Κομισιόν υποσχέθηκε ένα ρυθμιστικό πλαίσιο που θα βελτιώνει τα πράγματα, εισάγοντας περισσότερες εξαιρέσεις στην προϋπόθεση συγκατάθεσης για τα cookies, ώστε να αντιμετωπιστεί η υπερφόρτωση με ενοχλητικά cookie-banners, τα οποία οι άνθρωποι συναντούν σχεδόν σε κάθε site. Η υπόσχεση αυτή δεν τηρήθηκε. Ενώ η πρόταση εισάγει μία νέα εξαίρεση για τη μέτρηση του first party online κοινού, οι ψηφιακές υπηρεσίες, όπως τα websites και τα apps, θα πρέπει πάλι να ζητούν τη συγκατάθεση των χρηστών για τα cookies (ή άλλα identifiers) που χρησιμοποιούν για διαφήμιση, ή για third party analytics.

Οι διαφημίσεις χρηματοδοτούν τις ψηφιακές υπηρεσίες, με το 75% των online εσόδων να προέρχονται από τη διαφήμιση. Οι υπηρεσίες που χρηματοδοτούνται από τη διαφήμιση θα πρέπει να εξακολουθήσουν να ζητούν τη συγκατάθεση του χρήστη, όπως επίσης το ίδιο θα συμβεί και με πολλές συνδρομητικές υπηρεσίες που χρησιμοποιούν third party analytics. Επιπλέον, η συγκατάθεση θα ζητηθεί για την επεξεργασία των cookies για λόγους ασφαλείας και πρόληψης απάτης. Ως αποτέλεσμα,  το cookie banner θα παραμείνει πανταχού παρόν…

 Επιπρόσθετα, η πρόταση ePrivacy θέλει οι browsers να είναι υπεύθυνοι για τη διαχείριση της συγκατάθεσης, μέσω των ρυθμίσεων του browser, όπως επίσης να δίνουν τη δυνατότητα μπλοκαρίσματος συγκεκριμένων cookies. Αυτό μπορεί να έχει ως αποτέλεσμα οι χρήστες με συγκεκριμένες ρυθμίσεις browser, να μπορούν απλά να διώξουν το cookie-banner με ένα κλικ, αλλά να πρέπει να αλλάξουν τις ρυθμίσεις στον browser και στην εφαρμογή για να χρησιμοποιήσουν ψηφιακές υπηρεσίες. Έτσι, από πλευράς εμπειρίας του χρήστη, τα πράγματα χειροτερεύουν αντί να βελτιώνονται.

Όλοι αυτοί οι κανόνες είναι απολύτως απαραίτητοι στην επίτευξη του διατυπωμένου στόχου για διασφάλιση της προστασίας των προσωπικών δεδομένων και επεξεργασίας τους μόνον εις γνώση του ενδιαφερόμενου χρήστη. Το πλαίσιο General Data Protection Regulation που υιοθετήθηκε το 2016 και τίθεται σε ισχύ το 2018 ήδη θέτει το ανώτατο επίπεδο προστασίας προσωπικών δεδομένων στον κόσμο. Υπό τους κανόνες του GDPR η επεξεργασία προσωπικών δεδομένων χωρίς τη γνώση του χρήστη είναι παράνομη και οι χρήστες μπορούν να ασκήσουν τον έλεγχο επί των δεδομένων τους.

Ποιες είναι οι πιθανές επιπτώσεις για το ψηφιακό οικοσύστημα από την εφαρμογή της Οδηγίας;
M. M.:
Η οδηγία θέτει μια σημαντική –και πιθανά ανυπέρβλητη- πρόκληση συμμόρφωσης για το κομμάτι του third party advertising και των analytics και κατ’ επέκταση για τους εκδότες που βασίζονται σε τέτοιες, third-party υπηρεσίες. Η Οδηγία θα απαιτούσε την απόκτηση συγκατάθεσης -όπως ορίζεται από το General Data Protection Regulation- πριν από cookies, συσκευές αναγνώρισης όπως IDFA ή AAID, τεχνικές αναγνώρισης αποτυπώματος κλπ που μπορούν να χρησιμοποιηθούν νόμιμα.

Επιπλέον, οι επιχειρήσεις θα πρέπει να είναι σε θέση να δείξουν ότι έχουν αποκτήσει αυτή τη συγκατάθεση. Στην καλύτερη εκδοχή, η συμμόρφωση αυτή θα επέβαλε ένα σημαντικό κόστος στο εκδοτικό οικοσύστημα. Στη χειρότερη, θα μπορούσε να σημαίνει το τέλος του third-party advertising επιχειρηματικού μοντέλου, το οποίο αποτελεί το «καύσιμο» του Internet. Ας ελπίσουμε ότι δεν θα φτάσουμε εκεί.

Η νέα Οδηγία ευθυγραμμίζεται με το πλαίσιο GDPR, ή θα μπορούσε να λειτουργήσει και εναντίον του;
M. M.:
Η πρόταση δεν ευθυγραμμίζεται με το GDPR και θα μπορούσε να δουλέψει ενάντια στο στόχο της προστασίας των δεδομένων. Η προτεινόμενη οδηγία θα μπορούσε να δημιουργήσει εξαιρέσεις και ξεχωριστούς κανόνες για την έννομη επεξεργασία προσωπικών δεδομένων όπως καθορίζεται από το General Data Protection Regulation στο ψηφιακό περιβάλλον. Ενώ στο GDPR η επεξεργασία των προσωπικών δεδομένων μπορεί να γίνει είτε με τη συγκατάθεση του ενδιαφερόμενου χρήστη ή εκπληρώνοντας τις προϋποθέσεις ενός εκ των 5 άλλων νόμιμων ερεισμάτων επεξεργασίας, υπό την οδηγία ePrivacy η επεξεργασία μπορεί να είναι νόμιμη μόνον με τη συγκατάθεση.

Το πρώτο πρόβλημα εδώ είναι η «κόπωση ης συγκατάθεσης»: Εάν  ο χρήστης έρχεται αντιμέτωπος με χιλιάδες αιτήματα συγκατάθεσης για τα cookies καθημερινά, αυτό μπορεί να γίνει ενοχλητικό. Αρχίζεις να κλικάρεις «ok» χωρίς να διαβάζεις σε τι δίνεις τη συγκατάθεσή σου, εξαλείφοντας έτσι την προειδοποιητική λειτουργία της συγκατάθεσης. Χρειάζεται κάποια εναλλακτική ώστε η επεξεργασία των δεδομένων να γίνεται νόμιμα χωρίς να ενοχλείται ο χρήστης.

Το δεύτερο πρόβλημα είναι ότι οι επιχειρήσεις δεν θα ήταν σε θέση να προστατευθούν από διαδικτυακούς εγκληματίες και απάτες: Για να διασφαλισθεί μια υπηρεσία έναντι των κυβερνοεπιθέσεων, ή για να αποτρέψει το click-fraud, είναι απαραίτητο να συλλέγει πληροφορίες σε σχέση με αυτούς τους εγκληματίες και απατεώνες. Είναι όμως πιθανό ότι οι χάκερς αυτοί δεν θα έδιναν τη συγκατάθεσή τους για επεξεργασία των δεδομένων τους ώστε να εμποδιστούν, που σημαίνει ότι οι ψηφιακές υπηρεσίες δεν θα μπορούσαν έννομα να προστατευθούν. Είναι αναγκαία λοιπόν κάποια εναλλακτική ώστε αυτή η διαδικασία να γίνεται νόμιμα.

Για να ανταποκριθεί στο ζήτημα της εμπειρίας του χρήστη στο πλαίσιο του πρώτου προβλήματος που αναφέραμε, η Οδηγία σκέφτεται να επιτρέπει στους χρήστες να δίνουν γενικά τη συγκατάθεσή τους μέσα από τις ρυθμίσεις του browser. Είναι όμως αυτό καλή ιδέα; Σύμφωνα με το General Data Protection Regulation, η συγκατάθεση πρέπει να είναι συγκεκριμένη, ούτως ώστε ο χρήστης να κατανοεί τις επιπτώσεις της συγκατάθεσής του. Στο πλαίσιο του GDPR, η επεξεργασία προσωπικών δεδομένων χωρίς τη συγκατάθεση του χρήστη καθιστά τις επιχειρήσεις υπεύθυνες να εγγυηθούν ότι οι χρήστες προστατεύονται επαρκώς.

Η γενική συγκατάθεση, που προτείνει η Κομισιόν στην οδηγία ePrivacy, ουσιαστικά θα επέτρεπε στους χρήστες να κάνουν opt-out από ένα σημαντικό κομμάτι προστασίας των δεδομένων. Ο IAB Europe έχει κατ’ επανάληψη καλέσει την Κομισιόν να ευθυγραμμίσει την οδηγία ePrivacy με το General Data Protection Regulation, το οποίο, μετά από 4 χρόνια διαβούλευσης, κατέληξε σε μία προσέγγιση που ισορροπεί την ανάγκη ευελιξίας των επιχειρήσεων με τον θεμιτό στόχο προστασίας των δεδομένων των φυσικών προσώπων. Όλα αυτά τα προβλήματα θα μπορούσαν να λυθούν με την επεξεργασία των cookies υπό τους κανόνες του GDPR.

Ποιες είναι οι επόμενες κινήσεις από πλευράς IAB Europe;
M. M.:
Δουλεύουμε στενά με τις Ενώσεις που εκπροσωπούν τους διαφορετικούς stakeholders του διαφημιστικού οικοσυστήματος, στο δρόμο προς την επικύρωση της Οδηγίας. Για παράδειγμα, στείλαμε κοινή επιστολή εκφράζοντας τις ανησυχίες μας όταν διέρρευσε το περιεχόμενο της Οδηγίας. Η διατήρηση της συνεργασίας θα είναι κρίσιμη ώστε να διασφαλιστούν οι απαραίτητες βελτιώσεις στην πρόταση της Οδηγίας από το Ευρωπαϊκό Κοινοβούλιο και το Ευρωπαϊκό Συμβούλιο. Εργαζόμαστε μαζί με τους συναδέλφους μας από όλο το οικοσύστημα για την επίτευξη αυτού του στόχου.