Cum Funcționează Vânzările de Date Personale și Cum să te Protejezi

Ce sunt Brokerii de Date?

Brokerii de date sunt companii care colectează informații personale ale oamenilor, le ambalează corespunzător și le vând altor companii în schimbul unor sume de bani. Alte companii le cumpără pentru că au nevoie de aceste date pentru a lua decizii de afaceri mai bune.

Persoanele ale căror date personale sunt vândute adesea nu au habar de acest lucru. Între timp, brokerii de date devin afaceri de miliarde de dolari.

Ca să-ți faci o idee cât de mari sunt aceste companii:

• În 2019, compania de publicitate Publicis a cumpărat brokerul de date Epsilon pentru 4.4 miliarde de dolari
• Acxiom este evaluată la 4 miliarde de dolari
• ZoomInfo generează aproape 500 de milioane de dolari anual

Toate acestea din recoltarea, ambalarea și vânzarea datelor personale.

Și ca să-ți ofer o perspectivă despre cât de buni sunt în ceea ce fac, consultă acest articol referitor la căutarea unei persoane de a descoperi cum anumite companii de pe internet îi cunoșteau datele.

La final, a aflat că chiar și Facebook a cumpărat date de la un broker de date. Da, Facebook, compania despre care credem că are cele mai avansate algoritme pentru procesarea automată a datelor, a achiziționat date despre utilizatorii săi de la brokeri de date.

Brokerii de date sunt serioși când vine vorba de procesarea datelor. De exemplu, Acxiom, are peste 23.000 de servere care procesează datele a peste 500 de milioane de oameni la nivel global. Asta reprezintă aproximativ 7% din populația mondială totală.

Totuși, ei nu sunt de acord cu această cifră și susțin că procesează datele a 10% din populația mondială. Doar două țări – China și India – au o populație mai mare decât lista de persoane a căror date personale au fost procesate de Acxiom.

Ce Tipuri de Date Personale Colectează și Procesează?

Brokerii de date colectează și procesează cam orice categorie de date pe care pot să o adune. Orice fel de date le este util. Acxiom procesează 1500 de puncte de date per persoană.

Pe lângă informațiile personale de bază, cum ar fi numele, adresa de e-mail, adresa de domiciliu, numărul de telefon sau CNP, aceștia procesează și cantități masive de date legate de comportamentul tău.

Aceasta poate include viziunile tale politice, perspectivele filozofice asupra lumii, comportamentul tău de cumpărare online, viața de familie etc.

De exemplu, când analizează comportamentul tău de cumpărare online, ei pot analiza multiple puncte de date. De exemplu, o simplă achiziție a unui tricou online le-ar putea oferi informații despre:

• Ce ai navigat înainte de a cumpăra
• Dacă achiziționezi în timpul zilei, după-amiaza sau târziu în noapte
• Dacă cumperi în timpul săptămânii sau în weekend
• De câte ori ai vizitat magazinul online înainte de a cumpăra
• Dacă ai privit produse similare sau nu
• Ce culoare și model avea tricoul
• Dacă pe tricou erau imprimate unele cuvinte, ce însemnau acestea
• Cum se pot relaționa aceste cuvinte cu viziunea ta asupra lumii
• Dacă aceste cuvinte sugerează faptul că ești singur, căsătorit sau ai copii
• Dacă aceste cuvinte indică faptul că susții o anumită echipă NBA
• Dacă ai cumpărat tricoul de aceeași mărime ca data trecută sau dacă te-ai îngrășat între timp

Acestea sunt mai puțin de 1500 de puncte de date, dar înțelegi ideea.

Este impresionant. Și data viitoare, vei primi o reclamă relevantă de la o companie online oarecare care a cumpărat aceste date.

Cum Colectează Brokerii de Date Informații Personale

După cum probabil știi deja, doar conectându-te la internet, unele categorii ale datelor tale personale sunt deja expuse. Dacă nu ești în mod constant atent la protecția datelor, ești vulnerabil. Chiar dacă navigarea privată este posibilă, foarte puțini oameni optează pentru ea.

Când datele tale devin expuse, brokerii de date sunt gata să le primească cu brațele deschise.

Ei obțin datele tale în două modi: le cumpără sau le colectează ei înșiși. Cumpărarea datelor este evidentă. Colectarea este realizată în mare parte prin web scraping.

Web Scraping

Web scraping este o activitate online prin care cineva poate trimite un mic software sau script pentru a extrage date de pe orice site web.

Astfel, brokerii de date trimit instrumente de web scraping pe orice site web ce ar putea conține date personale. Colectează datele și le trimit brokerului într-un format gata pentru procesare. Apoi începe procesarea. Aceștia corelează numeroase puncte de date despre persoană, construind în cele din urmă un profil al acesteia.

În majoritatea cazurilor, ei colectează datele extrăgând:

Registre publice. Datele tale din registrele judiciare, registrele de vot, registrele de divorț și alte înregistrări la nivel de oraș/stat/federal disponibile, cel puțin parțial, publicului. Brokerii de date profită de aceasta pentru a colecta tot ce pot în bazele lor de date.

Profiluri de pe rețelele sociale. Nu vor ezita să extragă părțile publice ale profilurilor tale de pe rețelele sociale, cum ar fi numele, numărul de telefon, adresa de e-mail sau altele.

Site-urile web rareori interzic web scraping-ul datelor publice de pe site-urile lor și aproape întotdeauna interzic web scraping din zone rezervate membrilor. Cu toate acestea, colectorii de date nu iau aceste reguli în serios și continuă indiferent de prevederile Termenilor de Utilizare.
Astfel, dacă trimit un instrument de scraping pe LinkedIn, pe lângă extragerea datelor publice, nu vor ezita să acceseze datele vizibile doar pentru membri și să le colecteze.

Da, este împotriva Termenilor de Utilizare, dar se descurcă și continuă să o facă.

Extrăgerea breșelor de date publice. Când date personale sunt expuse de pe un site web, brokerii de date au de lucru – trimit instrumentul de web scraping direct la locul accidentului pentru a obține ceea ce au nevoie. Acest lucru poate include și date sensibile.

Alți brokeri de date. Există un proverb latin: „Homo homini lupus est”. Ei bine, un broker de date nu este un lup pentru alt broker de date. Ei extrag bazele de date unul altuia, fără a recurge la acțiuni legale.

Așadar, dacă un broker de date are multe puncte de date despre tine, este probabil ca mulți alții, mai devreme sau mai târziu, să obțină aceste date – fără consimțământul tău și fără să știi.

Cumpărarea datelor tale de la alte companii

Când extragerea datelor nu este suficientă sau nu este posibilă, brokerii de date plătesc pentru acestea din propriul lor buzunar.

Agregatori de liste de e-mail. Există companii a căror unic scop este să colecteze adrese de e-mail ale persoanelor în funcție de interesele lor, să le segmenteze și să vândă datele în funcție de caracteristicile specifice ale utilizatorilor.

De exemplu, poți apela la ele și să cumperi o listă de e-mailuri a bărbaților de peste 30 de ani care folosesc aplicații de finanțe personale. Sau o listă de e-mailuri a persoanelor interesate de diete paleo.

Unele afaceri cumpără aceste liste, dar și brokerii de date le cumpără.

Alte companii care au colectat datele tale. Multe afaceri online care nu au avut intenția de a vinde datele utilizatorilor le gestionează pentru propriile nevoi. Cu toate acestea, dacă brokerii de date se prezintă la momentul potrivit cu o oportunitate adecvată, unele dintre ele pot decide să le vândă.

Unele legi te protejează împotriva unor astfel de vânzări, iar altele nu. Hint: accepți Termenii de Utilizare fără să-i citești mai în detaliu.

Cum să te protejezi?

Brokerii de date operează într-un teren neexplorat, dar îi poți provoca exercitându-ți drepturile ca subiect al datelor. Totuși, ai astfel de drepturi doar dacă legile aplicabile îți permit acest lucru.

La momentul publicării acestui articol, GDPR, CCPA, Nevada NRS63, Brazil LGPD, Canada PIPEDA și altele protejează utilizatorii de vânzarea informațiilor lor.

Având în vedere cele două tendințe majore în legile privind confidențialitatea datelor la nivel mondial – legi asemănătoare cu GDPR și reglementări identice cu CCPA (doar legi de stat din SUA), există două căi principale de protecție. Ambele se bazează pe consimțământul utilizatorilor. Una dintre ele îl necesită; cealaltă nu.

Protecție unde consimțământul este necesar

Legile care necesită consimțământ pentru colectarea informațiilor personale ale utilizatorilor cer de obicei și aprobare pentru vânzarea datelor. Astfel de legi includ GDPR-ul UE, țările non-UE europene, reglementările din Brazilia, Argentina, Thailanda, Africa de Sud, Dubai, Australia, Noua Zeelandă, Japonia, China, Rusia și alte țări care au adoptat noi legi de protecție a datelor sau au actualizat cele vechi în ultimii ani.

Acolo unde legile cer consimțământ explicit pentru informații personale, inclusiv vânzări, înseamnă că operatorul de date trebuie să informeze utilizatorul în politica de confidențialitate că datele lor vor fi vândute. Dacă utilizatorul este de acord, pot să continue. Dacă utilizatorul refuză, vânzarea nu trebuie să aibă loc.

Protecție pas cu pas

Urmărește următorii pași:

1. Determină legile de protecție a datelor aplicabile. O regulă generală este că se aplică atât legile de unde este localizată afacerea, cât și cele de unde ești tu. Dacă consimțământul pentru utilizarea/prelucrarea datelor este necesar, continuă la pasul numărul 2.
2. Consultă politica lor de confidențialitate. Determină ce fac cu datele personale și în ce scopuri. Atenție la părțile cu care divulgă date personale sau la orice secțiune care explică procesul de vânzare a datelor, dacă există.
3. Trimite o solicitare ca subiect al datelor operatorului de date. Cere informații despre:
   • Cu cine împărtășesc datele tale personale și în ce scop, și
   • Dacă vând date personale, inclusiv datele tale.

   Acest lucru ar trebui să îți ofere o idee despre ce fac cu datele. Cu toate acestea, ar trebui să fii pregătit să întâmpini unele dificultăți. Dacă ești cetățean al UE și trimiți o solicitare ca subiect al datelor unei afaceri din SUA sau India, aceste afaceri s-ar putea să nu respecte GDPR-ul.

   Aceasta ar însemna că trebuie să le explici că GDPR-ul se aplică lor atunci când interacționează cu utilizatorii din UE și că ar trebui să respecte regulamentul. Dacă ignoră cererea ta, depune o plângere la autoritatea națională de protecție a datelor. Aceștia îi vor obliga să îți furnizeze informațiile solicitate.

4. Determină dacă vând datele tale. Odată ce ai informațiile solicitate, stabilește ce au făcut cu ele, fie singur, fie prin intermediul autorității de protecție a datelor. Dacă nu le vând, aici se încheie. Dacă le vând, continuă să citești.
5. Cere să înceteze vânzarea datelor tale. Acest lucru este evident. Și indiferent de răspunsul lor – pozitiv sau negativ – continuă la pasul numărul 6.
6. Depune o plângere la autoritatea de protecție a datelor. Dacă datele tale au fost vândute fără consimțământul tău și ești protejat de GDPR sau o lege similară, drepturile tale privind confidențialitatea datelor au fost încălcate. Acest lucru necesită o plângere la agenția de protecție a datelor. Procedura ar trebui să rezulte într-o amendă monetară GDPR pentru afacerea care ți-a vândut datele.

Protecție unde consimțământul nu este necesar

Consimțământul nu este necesar când:

1. Legea aplicabilă nu solicită consimțământ explicit pentru utilizarea sau vânzarea datelor, dar îți acordă dreptul de a te retrage din vânzare. Acesta este cazul pentru California, Nevada și Canada. Virginia se va alătura acestui grup în 2023. Este posibil ca și alte state din SUA să urmeze exemplul, dar Canada este probabil să înceapă să solicite consimțământul în curând.
2. Legea aplicabilă nu există, este depășită sau nu oferă protecție suficientă. Aceasta include restul statelor SUA (cu excepția Californiei, Nevadei și în curând a Virginiei), India, Indonezia și alte țări unde protecția datelor nu există sau este depășită.
   Dacă legea aplicabilă nu îți acordă nicio protecție a datelor personale, nu ai cum să te protejezi. Poți solicita brokerului de date să îți șteargă informațiile, dar ei pot refuza dacă doresc. Prin urmare, ești lăsat pe cont propriu.

Dacă California CCPA sau Nevada NRS603A se aplică în cazul tău, urmează pașii:

1. Citește politica lor de confidențialitate. Verifică dacă se menționează ceva despre vânzarea informațiilor personale. Legea îi obligă să ofere o notificare privind vânzarea datelor.
2. Dacă CCPA se aplică, verifică dacă există o notificare privind vânzarea datelor atunci când accesezi site-ul. Dacă există o astfel de notificare, apasă pe butonul de opt-out și ei nu trebuie să îți vândă datele.
   Dacă este prea târziu pentru asta, continuă să citești.
   
3. Verifică dacă există un buton/link/selector cu textul „Nu vindeți informațiile mele personale” sau „Nu vindeți datele mele” pe site. Dacă firma vinde date, sunt obligați să aibă unul pe site. De obicei, se găsește în subsolul site-ului. Poți să alegi să nu îți fie vândute datele unui broker de date.
   
4. Trimite o cerere de acces la date pentru a afla. Întreabă-i dacă vând informații personale și cui le vând. S-ar putea să ai nevoie să verifici identitatea în acest proces, deoarece nu ar trebui să ofere date oricui le solicită.
5. Răspunsul la cererea ta îți va indica dacă firma vinde date și, dacă da, cui. Vei ști unde să cauți în continuare dacă datele tale au fost vândute. Între timp, poți opta pentru excluderea din vânzarea datelor și solicita ștergerea tuturor informațiilor despre tine pe care le deține firma.
6. Trimite o cerere de acces la brokerul de date. Să vedem ce au despre tine.
7. Dacă au informații despre tine, trimite o cerere pentru a-ți șterge datele din bazele lor de date și optează pentru excluderea din vânzările viitoare de date personale.
8. Dacă nu primești un răspuns de la orice companie căreia i-ai trimis o cerere de acces la date, asigură-te că depui o plângere la Procurorul General. Ei sunt competenți să ia măsuri împotriva firmelor care nu respectă legea.

Pas bonus: Verifică Brand Yourself. Este o companie care scanează bazele de date ale principalilor brokeri de date pentru a vedea unde apar informațiile tale. Rezultatele scanării te vor informa unde să începi.

Pe de altă parte, dacă Canada PIPEDA se aplică în cazul tău, adică tu sau afacerea în cauză este canadiană, asigură-te că acorzi un „consimțământ negativ”.

Acest lucru înseamnă să contactezi controlorul de date și să îi ceri să înceteze vânzarea datelor tale altor părți. În plus, poți trimite o cerere pentru a afla cui i-au fost divulgate datele tale și apoi să soliciti tuturor acestora să șteargă informațiile personale din înregistrările lor.

Cuvinte finale

Este probabil ca datele tale să fie pe serverele cuiva fără consimțământul și cunoștința ta. Și e foarte posibil ca acestea să fie vândute pentru bani.

Dacă ești confortabil cu această idee, poți continua să-ți trăiești viața. Dar dacă te face anxios, s-ar putea ca acum să fie momentul potrivit să acționezi.