داده يا همان طلاي قرن ۲۱ توسط چه كساني كنترل مي‌شود

يك تحقيق ميداني در ايالات متحده‌ي آمريكا ثابت كرد كه هر فرد آمريكايي به‌طور ميانگين روزانه ۲۶۰۰ بار موبايل همراه خود را لمس مي‌كند. اين آمار در سال به حدود يك ميليون و براي برخي متخصصان تا دو ميليون لمس مي‌رسد.

هر يك از تعاملات لمسي با موبايل‌هاي هوشمند از جمله ضربه زدن، كشيدن و جابه‌جا كردن المان‌ها، نشان‌دهنده‌ي نمونه‌اي از رفتارهاي عامدانه‌ي ما است. موبايل‌هاي هوشمند ما تنها ابزارهايي براي منظم كردن بهتر كارهاي روزانه نيستند. آنها دستگاه‌هاي پيچيده‌ي نظارتي هستند كه ما با ارتباطات خود با آنها و با فرض خصوصي بودن اين ارتباطات، آنها را تغذيه مي‌كنيم.

تنها كافي است اين داده‌ها را از نقاط داده (ديتا پوينت‌ها) جمع‌آوري كرده و آنها را با داده‌هاي دستگاه‌هاي ديگر تركيب كنيد. دستگاه‌هايي همچون تلويزيون‌هاي هوشمند، پايش‌گرهاي سلامتي و كوكي‌ها كه در سرتاسر وب به‌دنبال ما مي‌آيند. اين تركيب، يك فرآيند جمع‌آوري اطلاعات از عادت‌ها و رفتارهاي ما است كه هميشه ادامه دارد و روزانه حدود ۲.۵ كوينتيليون (۱۰ به‌توان ۳۰) بايت داده را شامل مي‌شود.

اين حجم عظيم از داده، بين شبكه‌اي از مشاركت‌كنندگان در اينترنت، محققان و تبليغ‌دهندگان تقسيم شده و پخش مي‌شود. به‌عنوان مثال شركت Acxiom براي هريك از ۵۰۰ ميليون نفر موجود در پايگاه داده‌اش، به ۱۵۰۰ ديتا پوينت دسترسي دارد. در چند ماه گذشته، فيسبوك از دانشكده‌ي پزشكي دانشگاه استنفورد و تعدادي بيمارستان درخواست كرده تا داده‌هاي پزشكي بيماران را با داده‌هاي اين سرويس به‌اشتراك گذاشته و هماهنگ كنند (البته اين پروژه فعلا تعليق شده است). مثال‌هاي متعدد ديگري از اين جمع‌آوري و اشتراك داده ميان شركت‌ها وجود دارد كه مورد توجه‌ترين آن براي آمريكايي‌ها، استفاده از اطلاعات شخصي براي هدف‌‌گيري تبليغات انتخاباتي دونالد ترامپ بوده است.

يكي از قوانين كليدي ذكرشده در اين بيانيه، شامل دسترسي به اطلاعات شخصي، توضيح الگوريتم‌هايي كه زندگي شهروندان را شكل مي‌دهند، قابليت جابه‌جايي داده و پاك كردن آن است. اين قانون، كسب‌وكار تمامي سازمان‌هاي جهانيِ فعال در اتحاديه‌ي اروپا را تحت تاثير قرار مي‌دهد. در نتيجه‌ي آن، شركت‌هاي سرتاسر جهان بايد ميليون‌هاي دلار هزينه كرده تا قوانين حريم خصوصي خود را با اين قانون هماهنگ كنند. برخي از آنها حتي روش‌هاي خود را در خارج از اين اتحاديه نيز اصلاح كرده‌اند.

نويسندگان و متخصصان سرويس engadget تصميم گرفتند تا اجراي اين بخش از قانون GDPR را در شركت‌هاي مختلف آزمايش كنند. تيمي ۹ نفره از گزارشگران اين سرويس در شهرهاي لندن، پاريس، نيويورك و سان‌فرانسيسكو، بيش از ۱۵۰ فرم درخواست اطلاعات شخصي را به بيش از ۳۰ شركت مشهور دنياي فناوري ارسال كردند. اين شركت‌ها از شبكه‌هاي اجتماعي تا اپليكيشن‌هاي دوستيابي و سرويس‌هاي استريم را شامل مي‌شدند. اين گزارشگران، درخواست‌هاي خود را قبل و بعد از تاريخ ۲۵ مي (تاريخ اجرايي شدن GDPR) ارسال كردند تا روند اجراي آن را مطالعه كنند.

اتحاديه‌ي اروپا از سال ۱۹۹۵ قوانيني براي حفاظت از داده وضع كرده بود اما تحقيقات متعدد نشان داد كه آن قوانين به‌اندازه‌ي كافي قوي نبودند. قانون جديد نيز از سال ۲۰۱۶ وضع شده بود؛ اما امسال و با اضافه كردن جريمه‌هاي سنگين، اجراي آن الزامي‌تر شد. اين جريمه‌ها تا ۴ درصد از درآمد جهاني سالانه‌ي شركت‌ها را شامل مي‌شود.

اگر بحران كمبريح آنالاتيكا امروز اتفاق مي‌افتاد، جريمه‌ي فيسبوك به ميلياردها دلار مي‌رسيد. درحال حاضر، حدود ۱۰۰۰ وبسايت خبري آمريكايي مانند لس‌آنجلس تايمز و شيكاگو تريبون در اروپا در دسترس نيستند. آخرين تحقيقات نيز نشان مي‌دهد كه تنها يك سوم شركت‌ها توانسته‌اند با قانون جديد هماهنگ شوند.

متخصص كارشناسان اميدوارند قانون جديد، استانداردي براي مطالعه و نظارت بر قدرت شركت‌هاي بزرگ دنياي فناوري باشد. شركت‌هايي كه ارزش بازارشان از توليد ناخالص ملي برخي از كشورهاي جهان بيشتر است. نكته‌ي جالب اين است كه همين كشورهاي ضعيف‌تر، در حال تلاش براي افزايش مسئوليت‌پذيري غول‌هاي فناوري هستند.

درخواست‌هاي خبرنگاران از رايانامه‌هاي شخصي و همراه با آدرس خانه ارسال شده تا در حد امكان، شركت‌ها آنها را به‌عنوان متخصصان عادي تلقي كنند. البته در اكثر مواقع، آنها رايانامه‌هاي بعدي را نيز ارسال كرده و خود را به‌عنوان خبرنگار معرفي كرده‌اند.

هادي اصغري استاديار دانشگاه Delft هلند در مورد قوانين اتحاديه‌ي اروپا در بخش حريم خصوصي و اجراي آنها تحقيقاتي انجام داده و پايبندي به آنها را ناچيز توصيف كرده است. او در اظهارانديشه متخصصيني عنوان كرده است:

درخواست داده از از شركت‌ها، مانند پنجره‌اي به روح آنها است.

در اين ميان، خبرنگاران حاضر در اين مقاله به نتايج جالبي دست پيدا كردند: داده‌هاي به‌هم‌ريخته و نامنظمي كه Acxiom از يكي از متخصصان داشته است. يك اپليكيشن ديگر، روش‌هاي امنيتي نامناسبي را اجرا مي‌كرده و سرويس دوستيابي ديگر نيز اطلاعات يك فرد ديگر را براي آنها ارسال كرده است. همه‌ي اين شواهد، همان پنجره‌هايي به درون اين سازمان‌ها را در برابر خبرنگاران قرار داده است. در كنار همه‌ي اين موارد، برداشت‌ها اجراهاي متفاوت شركت‌ها از GDPR را نيز اضافه كنيد. در نهايت به اين نكته مي‌رسيم كه اطلاعات شخصي افراد، آن دارايي است كه به‌عنوان سوخت اقتصاد كلان داده استفاده مي‌شود. در نتيجه، مانند تمام دارايي‌ها يك جنگ براي به‌دست آوردن و كنترل آن در جريان است.

سياست‌هاي حريم خصوصي

در اين ميان بايد به نكته‌اي اشاره كنيم كه ابهام موضوع را بيشتر مي‌كند. مفهوم حريم خصوصي در داده، براي متخصصان عادي غيرقابل فهم و خسته‌كننده است. سياست‌هاي حريم خصوصي، سنگ‌بناي فهم حقوق داده است. اين سياست‌ها، اسنادي چندهزار كلمه‌اي و مهروموم‌شده به‌صورت قانوني هستند كه زيرساخت تبادل داده را روشن مي‌كنند. خود شركت‌‌ها نيز در بسياري از موارد، توانايي ردگيري اين تبادلات را ندارند.

محققان دانشگاه كارنگي-ملون‌‌، ۱۰ سال پيش تحقيقي در مورد زمان مورد نياز براي خواندن سياست‌هاي حريم خصوصي انجام دادند. آنها نتيجه گرفتند كه خواندن همه‌ي اين متن‌ها در يك سال، ۷۶ روز زمان مي‌گيرد. فراموش نكنيد كه اين آمار مربوط به ۱۰ سال پيش است و امروزه متخصصان از اپليكيشن‌هاي بسيار بيشتري استفاده مي‌كنند. در نهايت، نخواندن سياست‌هاي حريم خصوصي از طرف متخصصان، يك رفتار عادي است.

بياييد به تجربه‌ي عملي درخواست اطلاعات خبرنگاران بازگرديم. صرف‌انديشه متخصصين از اطلاعات دريافت‌شده از شركت‌ها و قابل فهم بودن يا نبودن آنها و همچنين معنادار بودن اين اطلاعات ارسال‌شده، فرمت اطلاعات به صورت‌هاي بسيار متنوعي بوده است. شركت‌ها، اطلاعات درخواستي را با روش‌هايي از رايانامه تا فايل‌هايي در فرمت‌هاي اكسل و پي‌دي‌اف ارائه كرده بودند.

به‌عنوان مثال، نتفليكس، داده‌ها را به‌صورت يك فايل پي‌دي‌اف تكي شامل فهرستي از جداول خود براي متخصصان ارسال كرد. در مقابل، اسپاتيفاي داده‌ها را به‌صورت يك فانكشن دانلود ارسال كرده است. خبرنگار انگليسي دريافت اين داده‌ها را امتحان كرده و ۱۰۱ فايل JSON دريافت كرده است. در‌ حالي كه خبرنگار ديگر، ۹۰ فايل دريافت كرده است.

اگرچه اطلاعات ارائه‌شده توسط اسپاتيفاي، به‌انديشه متخصصين جامع مي‌آيند؛ اما عموما اين نوع از داده، بخش‌هايي از ديتابيس هستند كه تنها توسط كامپيوترها خوانده مي‌شوند. به بيان ديگر، متخصص عادي حتي توانايي درك نام اين فايل‌ها را نيز ندارد. خبرنگاران در اين بخش نيز تماسي با اسپاتيفاي داشتند، اما توضيحي در مورد نام فايل‌ها دريافت نكردند. سخنگوي اين شركت نيز اعلام كرده است كه آنها قابليت ارائه‌ي اطلاعات در يك زمينه‌ي مشخص از داده را دارند، اما لغت‌نامه‌اي براي تفسير نام فايل‌ها آماده نكرده‌اند.

خبرنگار ديگري از آمريكا با شركت اسپاتيفاي ارتباط برقرار كرده و تنها ۷ فايل دريافت كرده است. اين فايل‌ها تنها حاوي اطلاعاتي از روش‌هاي پرداخت او و همچنين پلي‌ليست‌ها و فالورها بوده‌اند. سخنگوي اسپاتيفاي اعلام كرده كه هيج تفاوتي ميان اطلاعات به‌اشتراك گذاشته‌شده با متخصصان وجود ندارد و آنها مي‌توانند با تماس با واحد مشتريان، هر فايل مورد انديشه متخصصين خود را دريافت كنند. سوالي كه ايجاد مي‌شود اين است كه چگونه درخواست فايلي را بدهيم كه از وجود يا عدم وجود آن بي‌اطلاع هستيم؟

به‌هرحال، اسپاتيفاي و اينستاگرام، اطلاعاتي حداقلي را براي متخصصان ارسال كرده‌اند. در حالي كه اپليكيشن دوستيابي Bumble به خبرنگار انگليسي تنها اطلاعاتي اوليه مانند نام، سن و زبان، عكس‌هاي آپلودشده و گزارش يك‌ساله‌ي IPهاي او را ارسال كرده است. يك خبرنگار آمريكايي نيز براي اين شركت درخواستي را ارسال كرده و پس از ۱۲ هفته، پاسخ خود را دريافت كرده است.

يكي از موارد مشترك ديگر از طرف شركت‌ها، ارسال پاسخي شامل بندهاي سياست حريم خصوصي آنها بوده است. اين شركت‌ها در پاسخ خود، تنها اشاره‌اي به سياست‌هاي خود در بخش استفاده از داده كرده‌اند. آنها هيچ اطلاعي از سرنوشت داده‌هاي متخصصان، به آنها ارائه نكرده‌اند.

به‌عنوان مثالي از رويكرد بالا، اسنپ‌چت خبرنگاران را به سياست حريم خصوصي خود ارجاع داده است. آنها در متن اين سياست به اين نكته اشاره كرده‌اند كه اجازه‌ي جمع‌آوري اطلاعات در مورد متخصصان و از منابع مختلف و همچنين ارائه‌ي آن به شركت‌هاي ديگر را داشته، اما تعهدي براي ارائه‌ي فهرست اين شركت‌ها به متخصصان ندارند. اپليكيشن تيندر نيز روندي مشابه داشته و واحد روابط عمومي آنها نيز پاسخ روشني به اين موارد نداده است.

گروهي به نام The Article 29 Working Party يك گروه مشاوره‌اي متشكل از نمايندگان اتحاديه‌ي اروپا و متخصصان داده در مورد قوانين حريم خصوصي است. اين گروه پيش از اين عنوان كرده بود كه استفاده از كلماتي مانند may، might، some، often و possible در متن سياست‌هاي حريم خصوصي شركت‌ها بايد ممنوع شود. از لحاظ قانوني نيز GDPR به اين نكته اشاره مي‌كند كه هر ارتباطي ميان شركت و متخصص بايد در فرمي مختصر، شفاف، قابل فهم و به‌آساني قابل دسترس باشد. به‌علاوه، زبان گفتگو نيز بايد ساده و روشن باشد. تجربيات خبرنگاران از تعامل با شركت‌ها، كاملا ناسازگار با اين قوانين بوده است.

يك تيم تحقيقاتي متشكل از متخصصان سازمان مصرف‌كنندگان اروپا (BEUC) و موسسه‌ي دانشگاهي اروپايي فلورانس در ماه جولاي گذشته، تحقيقاتي را براي مطالعه متن سياست‌هاي حريم خصوصي شركت‌ها انجام دادند. آنها در اين تحقيق، ۱۴ متن را از شركت‌هاي مختلف از جمله آمازون، مايكروسافت و اوبر توسط هوش مصنوعي مطالعه كردند تا هم‌خواني آن با قانون GDPR را بسنجند. در نتيجه‌ي اين تحقيق، يك سوم عبارت‌هاي موجود در اين متون، پتانسيل فهم اشتباه و ايجاد اشكال براي متخصصان را داشتند يا اطلاعات ناكافي ارائه مي‌كردند.

استفاده داده‌هاي متخصصان

كليد فهم اين مسئله كه استفاده از اطلاعات ما چگونه انجام مي‌شود، فهم روش تحليل و آناليز آنها است. دسته‌بندي‌هايي كه متخصصان در آنها قرار مي‌گيرند و چگونگي مدل‌سازي رفتار آنها، اثر عميقي روي چگونگي استفاده‌ي آنها از فناوري دارد. جاي تعجب نيست كه شركت‌ها، به‌طور كامل اطلاعات اين فرآيند را نزد خود نگه مي‌دارند.

قانون GDPR، شركت‌ها را به ارائه‌ي توضيح كامل اين فرآيندها ملزم كرده است. به‌علاوه آنها بايد امكان خروج متخصص از برنامه‌هاي اتوماتيك تصميم‌گيري ماشيني و تحليل اطلاعات اشخاص (كه اثرات قانوني يا قابل توجهي دارند) را فراهم كنند. در اينجا دقيقا مشخص نيست كه شركت‌ها، بخش دوم اين قانون را چگونه اجرا خواهند كرد.

بدين ترتيب و به‌عنوان مثال، نتفليكس، در مورد چرايي پيشنهاد برخي فيلم‌هاي خاص به متخصصان، به اين توضيح اكتفا كرده است كه اين اطلاعات بر اساس فعاليت مشاهده‌ي فيلم متخصصان و تعامل آنها با سرويس ارائه مي‌شوند. اينستاگرام نيز در مورد رتبه‌بندي پست‌ها مي‌گويد كه زمان ارسال پست، ارتباط ما با فرد صاحب اكانت و احتمال علاقه‌مند بودن ما به آن محتوا، فاكتورهاي تاثيرگذاري هستند. تيندر نيز پاسخي تقريبا مشابه ارائه كرده و به بهانه‌ي حفظ ملكيت معنوي روش‌هاي خود، از توضيح بيشتر خودداري كرده است.

فيسبوك هيچ توضيحي در مورد اينكه چرا اين خبرنگار را در اين دسته‌ها قرار داده، ارائه نكرده است. البته متخصصان اين سرويس مي‌توانند از اين دسته‌بندي‌ها خارج شوند. سخنگوي اين شركت تنها به گفتن اين مورد اكتفا كرده است كه اين دسته‌بندي‌ها بر اساس تعامل متخصص با فيسبوك تنظيم مي‌شوند. البته او هيچ اشاره‌اي به احتمال استفاده‌ي اين شركت از اطلاعاتي ديگر مانند موقعيت جغرافيايي يا تاريخچه‌ي مرورگر نكرده است.

در بخش ديگري از اطلاعات فيسبوك، امكان مشاهده‌ي شركت‌هاي تبليغاتي كه اطلاعات تماس متخصص را از جاي ديگر داشته‌اند، وجود داشته است. به‌عنوان مثال، شعبه‌هاي كشورهاي ديگر سرويس‌هايي كه اين متخصص عضو بوده و جاهاي ديگر كه او رايانامهش را براي آنها ارسال كرده بوده است. براي توضيح اين بخش تصور كنيد شما در يك سرويس يا فروشگاه الكترونيك، با رايانامه خود ثبت‌نام مي‌كنيد. سپس با همين رايانامه نيز حسابي در فيسبوك مي‌سازيد. حال، شركت اوليه مي‌تواند از عضويت شما در فيسبوك مطلع شده و تبليغاتش را در آنجا براي شما نمايش دهد.

خبرنگار نويسنده‌ي اين مقاله، پيش و پس از تاريخ ۲۵ مي، اطلاعات خود را از فيسبوك درخواست كرده است. اين اطلاعات در اين دو تاريخ تفاوت زيادي با هم داشته‌اند. تعداد تبليغ‌دهندگان داراي اطلاعات تماس از ۱۰ به ۱۸۰ رسيده است. تعداد دسته‌بندي‌هاي علايق براي نمايش تبليغات نيز از ۱۹۸ به ۳۵۷ تغيير كرده است. دو مسئول فيسبوك در پاسخ به مكاتبات اين خبرنگار، دو دليل متفاوت را به او اعلام كرده‌اند. اولي، باگ سيستمي در نمايش تعداد تبليغ‌دهندگان و دومي اشكال در سيستم دسته‌بندي را به‌عنوان دليل اعلام كرده است. جالب اين كه هيچ‌كدام از آنها، GDPR را دليل افزايش حجم اطلاعات ندانسته‌اند.

كالثونر معتقد است اكثر شركت‌ها، داده‌هاي مدل‌سازي‌شده را داده‌هاي شخصي نمي‌دانند. متخصصان تنها به اطلاعاتي كه به‌صورت فعال به اشتراك مي‌گذارند، فكر مي‌كنند. از طرفي شركت‌ها نيز تنها همين اطلاعات را در خبرهاي خود مدانديشه متخصصين قرار مي‌دهند. به‌همين دليل، بحران كمبريج آنالاتيكا نقطه‌ي عطفي در تاريخ حريم خصوصي شد. در تعريف ساده، متخصصان پيش از اين حادثه نيز مي‌دانستند كه داده‌هايشان توسط شركت‌ها جمع‌آوري مي‌شود؛ اما از چگونگي تاثير آن بر زندگي‌هايشان آگاه نبودند.

وقتي ما تمام اطلاعات ذخيره‌شده از خودمان را از شركت‌ها درخواست مي‌كنيم، آنها تنها داده‌هايي كه خودمان در اختيارشان گذاشته‌ايم را ارسال مي‌كنند. در نتيجه، آنها نه‌تنها جزئيات تاثيرگذار را حذف مي‌كنند؛ بلكه اين ايده را پرورش مي‌دهند كه تنها اطلاعات مورد استفاده، همين موارد ساده هستند.

فيسبوك نيز اخيرا به‌خاطر اقدامي مشابه، مورد حمله‌ي منتقدان قرار گرفت. اين شركت در حال تحقيق براي كشف روشي بود تا احساسات متخصصان را دستكاري كند و به‌علاوه، زمان‌هايي كه آنها در موقعيت‌هاي احساسي آسيب‌پذير هستند را كشف كند. كشف ديگر در مورد اين شركت آن است كه آنها، متخصصان را از لحاظ اعتبار رتبه‌سنجي مي‌كنند و البته مانند هميشه، جزئيات چگونگي اين دسته‌بندي را فاش نمي‌كنند. در نهايت بايد به اين نكته اشاره كنيم كه داده، ارز موردتبادل ما در دنياي فناوري است؛ اما خودمان نمي‌دانيم كه روزانه چه مقدار از آن را خرج مي‌كنيم.

اشتراك‌گذاري داده بين شركت‌ها

در بخش آخر اين مقاله، به پاسخ شركت‌ها در برابر سوالي ساده از طرف متخصصان پرداخته شده است: چه فرد يا شركت ديگري به داده‌هاي من دسترسي دارد؟

برت كوهن يكي از شركاي شركت حقوقي Hogan Lovells در اين مورد مي‌گويد:

پيش از اجرايي شدن GDPR، شركت‌ها روندي براي ساختن نقشه‌اي از داده‌هاي متخصصان و مقصد ارسالي آن نداشتند. اين قانون موجب شد تا شركت‌ها نگاهي عميق‌تر به روند كاري خود و فرآيند‌هاي انجام‌شده با آن داشته باشند. به بيان ديگر اين قانون، انگيزه‌ي آنها را افزايش داد.

پروفسور هادي اصغري نير در تحقيقات خود به نتيجه‌اي در اين مورد نرسيده است. او معتقد است بسياري از شركت‌ها، خودشان نيز از مقصد اطلاعات متخصصان اطلاع ندارند.

يك نكته‌ي ديگر در اين تحقيق،‌ روند تاييد هويت شركت‌ها براي ارائه‌ي اطلاعات شخصي به متخصصان بوده است. هيچ‌ روند استانداردي براي اين مسئله تعبيه نشده است؛ به‌عنوان مثال Bumble براي تاييد هويت، دو سند هويتي را به‌صورت رايانامه درخواست كرده است. اين اپليكيشن، اسنادي همچون گواهينامه‌ي رانندگي، پاسپورت، گواهي تولد و موارد مشابه را پيشنهاد داده است. اسپاتيفاي، ۴ رقم آخر كارت اعتباري را درخواست كرده و تاكيد كرده است كه تمام رقم‌هاي كارت نوشته نشوند. شركت‌هايي همچون گوگل، توييتر و لينكدين نيز تنها پس از ورود به حساب متخصصي، از خبرنگاران خواسته‌اند كه فرم‌هاي مخصوص درخواست اطلاعات را پر كنند.

جيوان كيم سراتو، مدير حفاظت اطلاعات، حريم خصوصي و امنيت سايبري در شركت حقوقي Norton Rose Fulbright در اين مورد مي‌گويد:

نكته‌ي مهم اين است كه شركت‌ها نبايد اطلاعاتي بيش از نياز خود را جمع‌آوري كنند. به‌عنوان مثال اگر كسب‌وكار شما ارتباطي به كپي مداركي همچون گواهينامه‌ي رانندگي يا عكس پاسپورت‌ ندارد، نيازي به جمع‌آوري آنها نداريد.كوچك كردن داده‌ها، زيربناي مفهوم حريم خصوصي است. شما بايد تنها داده‌هايي را نگهداري كنيد كه ارزش افزوده‌اي براي متخصص داشته باشد. اگر داده، زماني ارزش خود را براي متخصص از دست بدهد، نگهداري آن تنها براي شركت هزينه خواهد داشت.

اظهار انديشه متخصصين اين متخصص، رويكردي كاملا جديد در مورد جمع‌آوري داده را پيشنهاد مي‌كند. روند عادي شركت‌ها تا پيش از اين بر آن بوده كه هرگونه داده يا محتواي قابل دسترسي را (بدون توجه به هدف يا فايده‌ي آن براي شركت)، جمع‌آوري كنند. سراتو در ادامه توضيح مي‌دهد كه ذخيره‌سازي داده در حال ارزان شدن است و احتمالا، پاك كردن داده‌ها به‌صورت منظم، براي شركت‌ها هزينه‌اي بيش از نگهداري هميشگي آنها خواهد داشت.

اما GDPR قصد دارد اين هزينه‌ها را برعكس كند. طبق اين قانون، هزينه‌ي نگهداري اطلاعات باارزش، در صورتي كه شركت اطلاع دقيقي از فايده و كارايي آنها نداشته باشد، بسيار بالا خواهد بود. البته شايان ذكر است كه اين قانون هنوز در مراحل اوليه قرار دارد و اجرا كردن آن بر اساس قوانين محلي كشورها و آزمون و خطا، زمان مي‌طلبد.

البته متخصص كارشناسان معتقدند شركت‌هايي كه خود را در نوك پيكان اين قانون مي‌بينند، از هر اقدامي براي هماهنگ شدن با آن استفاده مي‌كنند؛ اما برخي شركت‌ها هنوز در مرحله‌ي انتظار مانده‌اند. مي‌توان گفت تنها دليل انتظار آنها، ترس از عواقب اعتراض به قانون است.

متخصصان انتظار دارند كه مقامات قانوني ابتدا شركت‌هاي بزرگ فناوري، خصوصا آنهايي كه به‌صورت مستقيم با مصرف‌كننده در ارتباط هستند را هدف قرار دهند. رسانه‌هاي اجتماعي، اپليكيشن‌هاي موبايل، سرويس‌هاي سلامتي، تبليغات و خودروهاي خودران و همچنين شركت‌هايي كه بازار هدفشان كودكان هستند.

در نهايت بايد به اين نكته اشاره كنيم كه مقامات رسمي در مورد جريمه كردن شركت‌ها، اظهاراتي صريح داشته و عزم خود را جزم‌تر از هميشه نشان مي‌دهند. جيواني بوتارلي سرپرست حفاظت داده‌ي اتحاديه‌ي اروپا در اين مورد مي‌گويد:

كاملا واضح است كه سوءاستفاده از متخصصان به روندي عادي تبديل شده بود. آژانس حفاظت از داده‌ي اروپا كه من مدير آن هستم، براي پايان دادن به اين وضع عمل مي‌كند. مردم به‌زودي و پيش از پايان سال، نتايج اوليه‌ي اين اقدامات را شاهد خواهند بود.

در حال حاضر نگاه افكار عمومي منتظر اولين پرونده‌ي قانوني است كه عليه يك شركت بزرگ فناوري به جريان مي‌افتد. آنها منتظرند تا مقدار جريمه‌‌ي آن شركت احتمالي نيز مشخص شود. به بيان ديگر، اين اقدام، بهترين نشانه از اثرگذار بودن قانون GDPR در حفاظت از اطلاعات متخصصان در برابر احتكاركنندگان قدرتمند طلاي قرن ۲۱ است.