داده یا همان طلای قرن ۲۱ توسط چه کسانی کنترل می‌شود

یک تحقیق میدانی در ایالات متحده‌ی آمریکا ثابت کرد که هر فرد آمریکایی به‌طور میانگین روزانه ۲۶۰۰ بار گوشی همراه خود را لمس می‌کند. این آمار در سال به حدود یک میلیون و برای برخی کاربران تا دو میلیون لمس می‌رسد.

هر یک از تعاملات لمسی با گوشی‌های هوشمند از جمله ضربه زدن، کشیدن و جابه‌جا کردن المان‌ها، نشان‌دهنده‌ی نمونه‌ای از رفتارهای عامدانه‌ی ما است. گوشی‌های هوشمند ما تنها ابزارهایی برای منظم کردن بهتر کارهای روزانه نیستند. آنها دستگاه‌های پیچیده‌ی نظارتی هستند که ما با ارتباطات خود با آنها و با فرض خصوصی بودن این ارتباطات، آنها را تغذیه می‌کنیم.

تنها کافی است این داده‌ها را از نقاط داده (دیتا پوینت‌ها) جمع‌آوری کرده و آنها را با داده‌های دستگاه‌های دیگر ترکیب کنید. دستگاه‌هایی همچون تلویزیون‌های هوشمند، پایش‌گرهای سلامتی و کوکی‌ها که در سرتاسر وب به‌دنبال ما می‌آیند. این ترکیب، یک فرآیند جمع‌آوری اطلاعات از عادت‌ها و رفتارهای ما است که همیشه ادامه دارد و روزانه حدود ۲.۵ کوینتیلیون (۱۰ به‌توان ۳۰) بایت داده را شامل می‌شود.

این حجم عظیم از داده، بین شبکه‌ای از مشارکت‌کنندگان در اینترنت، محققان و تبلیغ‌دهندگان تقسیم شده و پخش می‌شود. به‌عنوان مثال شرکت Acxiom برای هریک از ۵۰۰ میلیون نفر موجود در پایگاه داده‌اش، به ۱۵۰۰ دیتا پوینت دسترسی دارد. در چند ماه گذشته، فیسبوک از دانشکده‌ی پزشکی دانشگاه استنفورد و تعدادی بیمارستان درخواست کرده تا داده‌های پزشکی بیماران را با داده‌های این سرویس به‌اشتراک گذاشته و هماهنگ کنند (البته این پروژه فعلا تعلیق شده است). مثال‌های متعدد دیگری از این جمع‌آوری و اشتراک داده میان شرکت‌ها وجود دارد که مورد توجه‌ترین آن برای آمریکایی‌ها، استفاده از اطلاعات شخصی برای هدف‌‌گیری تبلیغات انتخاباتی دونالد ترامپ بوده است.

یکی از قوانین کلیدی ذکرشده در این بیانیه، شامل دسترسی به اطلاعات شخصی، توضیح الگوریتم‌هایی که زندگی شهروندان را شکل می‌دهند، قابلیت جابه‌جایی داده و پاک کردن آن است. این قانون، کسب‌وکار تمامی سازمان‌های جهانیِ فعال در اتحادیه‌ی اروپا را تحت تاثیر قرار می‌دهد. در نتیجه‌ی آن، شرکت‌های سرتاسر جهان باید میلیون‌های دلار هزینه کرده تا قوانین حریم خصوصی خود را با این قانون هماهنگ کنند. برخی از آنها حتی روش‌های خود را در خارج از این اتحادیه نیز اصلاح کرده‌اند.

نویسندگان و کارمندان سرویس engadget تصمیم گرفتند تا اجرای این بخش از قانون GDPR را در شرکت‌های مختلف آزمایش کنند. تیمی ۹ نفره از گزارشگران این سرویس در شهرهای لندن، پاریس، نیویورک و سان‌فرانسیسکو، بیش از ۱۵۰ فرم درخواست اطلاعات شخصی را به بیش از ۳۰ شرکت مشهور دنیای فناوری ارسال کردند. این شرکت‌ها از شبکه‌های اجتماعی تا اپلیکیشن‌های دوستیابی و سرویس‌های استریم را شامل می‌شدند. این گزارشگران، درخواست‌های خود را قبل و بعد از تاریخ ۲۵ می (تاریخ اجرایی شدن GDPR) ارسال کردند تا روند اجرای آن را بررسی کنند.

اتحادیه‌ی اروپا از سال ۱۹۹۵ قوانینی برای حفاظت از داده وضع کرده بود اما تحقیقات متعدد نشان داد که آن قوانین به‌اندازه‌ی کافی قوی نبودند. قانون جدید نیز از سال ۲۰۱۶ وضع شده بود؛ اما امسال و با اضافه کردن جریمه‌های سنگین، اجرای آن الزامی‌تر شد. این جریمه‌ها تا ۴ درصد از درآمد جهانی سالانه‌ی شرکت‌ها را شامل می‌شود.

اگر بحران کمبریح آنالاتیکا امروز اتفاق می‌افتاد، جریمه‌ی فیسبوک به میلیاردها دلار می‌رسید. درحال حاضر، حدود ۱۰۰۰ وبسایت خبری آمریکایی مانند لس‌آنجلس تایمز و شیکاگو تریبون در اروپا در دسترس نیستند. آخرین تحقیقات نیز نشان می‌دهد که تنها یک سوم شرکت‌ها توانسته‌اند با قانون جدید هماهنگ شوند.

کارشناسان امیدوارند قانون جدید، استانداردی برای بررسی و نظارت بر قدرت شرکت‌های بزرگ دنیای فناوری باشد. شرکت‌هایی که ارزش بازارشان از تولید ناخالص ملی برخی از کشورهای جهان بیشتر است. نکته‌ی جالب این است که همین کشورهای ضعیف‌تر، در حال تلاش برای افزایش مسئولیت‌پذیری غول‌های فناوری هستند.

درخواست‌های خبرنگاران از ایمیل‌های شخصی و همراه با آدرس خانه ارسال شده تا در حد امکان، شرکت‌ها آنها را به‌عنوان کاربران عادی تلقی کنند. البته در اکثر مواقع، آنها ایمیل‌های بعدی را نیز ارسال کرده و خود را به‌عنوان خبرنگار معرفی کرده‌اند.

هادی اصغری استادیار دانشگاه Delft هلند در مورد قوانین اتحادیه‌ی اروپا در بخش حریم خصوصی و اجرای آنها تحقیقاتی انجام داده و پایبندی به آنها را ناچیز توصیف کرده است. او در اظهارنظری عنوان کرده است:

درخواست داده از از شرکت‌ها، مانند پنجره‌ای به روح آنها است.

در این میان، خبرنگاران حاضر در این مقاله به نتایج جالبی دست پیدا کردند: داده‌های به‌هم‌ریخته و نامنظمی که Acxiom از یکی از کاربران داشته است. یک اپلیکیشن دیگر، روش‌های امنیتی نامناسبی را اجرا می‌کرده و سرویس دوستیابی دیگر نیز اطلاعات یک فرد دیگر را برای آنها ارسال کرده است. همه‌ی این شواهد، همان پنجره‌هایی به درون این سازمان‌ها را در برابر خبرنگاران قرار داده است. در کنار همه‌ی این موارد، برداشت‌ها اجراهای متفاوت شرکت‌ها از GDPR را نیز اضافه کنید. در نهایت به این نکته می‌رسیم که اطلاعات شخصی افراد، آن دارایی است که به‌عنوان سوخت اقتصاد کلان داده استفاده می‌شود. در نتیجه، مانند تمام دارایی‌ها یک جنگ برای به‌دست آوردن و کنترل آن در جریان است.

سیاست‌های حریم خصوصی

در این میان باید به نکته‌ای اشاره کنیم که ابهام موضوع را بیشتر می‌کند. مفهوم حریم خصوصی در داده، برای کاربران عادی غیرقابل فهم و خسته‌کننده است. سیاست‌های حریم خصوصی، سنگ‌بنای فهم حقوق داده است. این سیاست‌ها، اسنادی چندهزار کلمه‌ای و مهروموم‌شده به‌صورت قانونی هستند که زیرساخت تبادل داده را روشن می‌کنند. خود شرکت‌‌ها نیز در بسیاری از موارد، توانایی ردگیری این تبادلات را ندارند.

محققان دانشگاه کارنگی-ملون‌‌، ۱۰ سال پیش تحقیقی در مورد زمان مورد نیاز برای خواندن سیاست‌های حریم خصوصی انجام دادند. آنها نتیجه گرفتند که خواندن همه‌ی این متن‌ها در یک سال، ۷۶ روز زمان می‌گیرد. فراموش نکنید که این آمار مربوط به ۱۰ سال پیش است و امروزه کاربران از اپلیکیشن‌های بسیار بیشتری استفاده می‌کنند. در نهایت، نخواندن سیاست‌های حریم خصوصی از طرف کاربران، یک رفتار عادی است.

بیایید به تجربه‌ی عملی درخواست اطلاعات خبرنگاران بازگردیم. صرف‌نظر از اطلاعات دریافت‌شده از شرکت‌ها و قابل فهم بودن یا نبودن آنها و همچنین معنادار بودن این اطلاعات ارسال‌شده، فرمت اطلاعات به صورت‌های بسیار متنوعی بوده است. شرکت‌ها، اطلاعات درخواستی را با روش‌هایی از ایمیل تا فایل‌هایی در فرمت‌های اکسل و پی‌دی‌اف ارائه کرده بودند.

به‌عنوان مثال، نتفلیکس، داده‌ها را به‌صورت یک فایل پی‌دی‌اف تکی شامل فهرستی از جداول خود برای کاربران ارسال کرد. در مقابل، اسپاتیفای داده‌ها را به‌صورت یک فانکشن دانلود ارسال کرده است. خبرنگار انگلیسی دریافت این داده‌ها را امتحان کرده و ۱۰۱ فایل JSON دریافت کرده است. در‌ حالی که خبرنگار دیگر، ۹۰ فایل دریافت کرده است.

اگرچه اطلاعات ارائه‌شده توسط اسپاتیفای، به‌نظر جامع می‌آیند؛ اما عموما این نوع از داده، بخش‌هایی از دیتابیس هستند که تنها توسط کامپیوترها خوانده می‌شوند. به بیان دیگر، کاربر عادی حتی توانایی درک نام این فایل‌ها را نیز ندارد. خبرنگاران در این بخش نیز تماسی با اسپاتیفای داشتند، اما توضیحی در مورد نام فایل‌ها دریافت نکردند. سخنگوی این شرکت نیز اعلام کرده است که آنها قابلیت ارائه‌ی اطلاعات در یک زمینه‌ی مشخص از داده را دارند، اما لغت‌نامه‌ای برای تفسیر نام فایل‌ها آماده نکرده‌اند.

خبرنگار دیگری از آمریکا با شرکت اسپاتیفای ارتباط برقرار کرده و تنها ۷ فایل دریافت کرده است. این فایل‌ها تنها حاوی اطلاعاتی از روش‌های پرداخت او و همچنین پلی‌لیست‌ها و فالورها بوده‌اند. سخنگوی اسپاتیفای اعلام کرده که هیج تفاوتی میان اطلاعات به‌اشتراک گذاشته‌شده با کاربران وجود ندارد و آنها می‌توانند با تماس با واحد مشتریان، هر فایل مورد نظر خود را دریافت کنند. سوالی که ایجاد می‌شود این است که چگونه درخواست فایلی را بدهیم که از وجود یا عدم وجود آن بی‌اطلاع هستیم؟

به‌هرحال، اسپاتیفای و اینستاگرام، اطلاعاتی حداقلی را برای کاربران ارسال کرده‌اند. در حالی که اپلیکیشن دوستیابی Bumble به خبرنگار انگلیسی تنها اطلاعاتی اولیه مانند نام، سن و زبان، عکس‌های آپلودشده و گزارش یک‌ساله‌ی IPهای او را ارسال کرده است. یک خبرنگار آمریکایی نیز برای این شرکت درخواستی را ارسال کرده و پس از ۱۲ هفته، پاسخ خود را دریافت کرده است.

یکی از موارد مشترک دیگر از طرف شرکت‌ها، ارسال پاسخی شامل بندهای سیاست حریم خصوصی آنها بوده است. این شرکت‌ها در پاسخ خود، تنها اشاره‌ای به سیاست‌های خود در بخش استفاده از داده کرده‌اند. آنها هیچ اطلاعی از سرنوشت داده‌های کاربران، به آنها ارائه نکرده‌اند.

به‌عنوان مثالی از رویکرد بالا، اسنپ‌چت خبرنگاران را به سیاست حریم خصوصی خود ارجاع داده است. آنها در متن این سیاست به این نکته اشاره کرده‌اند که اجازه‌ی جمع‌آوری اطلاعات در مورد کاربران و از منابع مختلف و همچنین ارائه‌ی آن به شرکت‌های دیگر را داشته، اما تعهدی برای ارائه‌ی فهرست این شرکت‌ها به کاربران ندارند. اپلیکیشن تیندر نیز روندی مشابه داشته و واحد روابط عمومی آنها نیز پاسخ روشنی به این موارد نداده است.

گروهی به نام The Article 29 Working Party یک گروه مشاوره‌ای متشکل از نمایندگان اتحادیه‌ی اروپا و متخصصان داده در مورد قوانین حریم خصوصی است. این گروه پیش از این عنوان کرده بود که استفاده از کلماتی مانند may، might، some، often و possible در متن سیاست‌های حریم خصوصی شرکت‌ها باید ممنوع شود. از لحاظ قانونی نیز GDPR به این نکته اشاره می‌کند که هر ارتباطی میان شرکت و کاربر باید در فرمی مختصر، شفاف، قابل فهم و به‌آسانی قابل دسترس باشد. به‌علاوه، زبان گفتگو نیز باید ساده و روشن باشد. تجربیات خبرنگاران از تعامل با شرکت‌ها، کاملا ناسازگار با این قوانین بوده است.

یک تیم تحقیقاتی متشکل از متخصصان سازمان مصرف‌کنندگان اروپا (BEUC) و موسسه‌ی دانشگاهی اروپایی فلورانس در ماه جولای گذشته، تحقیقاتی را برای بررسی متن سیاست‌های حریم خصوصی شرکت‌ها انجام دادند. آنها در این تحقیق، ۱۴ متن را از شرکت‌های مختلف از جمله آمازون، مایکروسافت و اوبر توسط هوش مصنوعی مطالعه کردند تا هم‌خوانی آن با قانون GDPR را بسنجند. در نتیجه‌ی این تحقیق، یک سوم عبارت‌های موجود در این متون، پتانسیل فهم اشتباه و ایجاد مشکل برای کاربران را داشتند یا اطلاعات ناکافی ارائه می‌کردند.

استفاده داده‌های کاربران

کلید فهم این مسئله که استفاده از اطلاعات ما چگونه انجام می‌شود، فهم روش تحلیل و آنالیز آنها است. دسته‌بندی‌هایی که کاربران در آنها قرار می‌گیرند و چگونگی مدل‌سازی رفتار آنها، اثر عمیقی روی چگونگی استفاده‌ی آنها از فناوری دارد. جای تعجب نیست که شرکت‌ها، به‌طور کامل اطلاعات این فرآیند را نزد خود نگه می‌دارند.

قانون GDPR، شرکت‌ها را به ارائه‌ی توضیح کامل این فرآیندها ملزم کرده است. به‌علاوه آنها باید امکان خروج کاربر از برنامه‌های اتوماتیک تصمیم‌گیری ماشینی و تحلیل اطلاعات اشخاص (که اثرات قانونی یا قابل توجهی دارند) را فراهم کنند. در اینجا دقیقا مشخص نیست که شرکت‌ها، بخش دوم این قانون را چگونه اجرا خواهند کرد.

بدین ترتیب و به‌عنوان مثال، نتفلیکس، در مورد چرایی پیشنهاد برخی فیلم‌های خاص به کاربران، به این توضیح اکتفا کرده است که این اطلاعات بر اساس فعالیت مشاهده‌ی فیلم کاربران و تعامل آنها با سرویس ارائه می‌شوند. اینستاگرام نیز در مورد رتبه‌بندی پست‌ها می‌گوید که زمان ارسال پست، ارتباط ما با فرد صاحب اکانت و احتمال علاقه‌مند بودن ما به آن محتوا، فاکتورهای تاثیرگذاری هستند. تیندر نیز پاسخی تقریبا مشابه ارائه کرده و به بهانه‌ی حفظ ملکیت معنوی روش‌های خود، از توضیح بیشتر خودداری کرده است.

فیسبوک هیچ توضیحی در مورد اینکه چرا این خبرنگار را در این دسته‌ها قرار داده، ارائه نکرده است. البته کاربران این سرویس می‌توانند از این دسته‌بندی‌ها خارج شوند. سخنگوی این شرکت تنها به گفتن این مورد اکتفا کرده است که این دسته‌بندی‌ها بر اساس تعامل کاربر با فیسبوک تنظیم می‌شوند. البته او هیچ اشاره‌ای به احتمال استفاده‌ی این شرکت از اطلاعاتی دیگر مانند موقعیت جغرافیایی یا تاریخچه‌ی مرورگر نکرده است.

در بخش دیگری از اطلاعات فیسبوک، امکان مشاهده‌ی شرکت‌های تبلیغاتی که اطلاعات تماس کاربر را از جای دیگر داشته‌اند، وجود داشته است. به‌عنوان مثال، شعبه‌های کشورهای دیگر سرویس‌هایی که این کاربر عضو بوده و جاهای دیگر که او ایمیلش را برای آنها ارسال کرده بوده است. برای توضیح این بخش تصور کنید شما در یک سرویس یا فروشگاه آنلاین، با ایمیل خود ثبت‌نام می‌کنید. سپس با همین ایمیل نیز حسابی در فیسبوک می‌سازید. حال، شرکت اولیه می‌تواند از عضویت شما در فیسبوک مطلع شده و تبلیغاتش را در آنجا برای شما نمایش دهد.

خبرنگار نویسنده‌ی این مقاله، پیش و پس از تاریخ ۲۵ می، اطلاعات خود را از فیسبوک درخواست کرده است. این اطلاعات در این دو تاریخ تفاوت زیادی با هم داشته‌اند. تعداد تبلیغ‌دهندگان دارای اطلاعات تماس از ۱۰ به ۱۸۰ رسیده است. تعداد دسته‌بندی‌های علایق برای نمایش تبلیغات نیز از ۱۹۸ به ۳۵۷ تغییر کرده است. دو مسئول فیسبوک در پاسخ به مکاتبات این خبرنگار، دو دلیل متفاوت را به او اعلام کرده‌اند. اولی، باگ سیستمی در نمایش تعداد تبلیغ‌دهندگان و دومی اشکال در سیستم دسته‌بندی را به‌عنوان دلیل اعلام کرده است. جالب این که هیچ‌کدام از آنها، GDPR را دلیل افزایش حجم اطلاعات ندانسته‌اند.

کالثونر معتقد است اکثر شرکت‌ها، داده‌های مدل‌سازی‌شده را داده‌های شخصی نمی‌دانند. کاربران تنها به اطلاعاتی که به‌صورت فعال به اشتراک می‌گذارند، فکر می‌کنند. از طرفی شرکت‌ها نیز تنها همین اطلاعات را در خبرهای خود مدنظر قرار می‌دهند. به‌همین دلیل، بحران کمبریج آنالاتیکا نقطه‌ی عطفی در تاریخ حریم خصوصی شد. در تعریف ساده، کاربران پیش از این حادثه نیز می‌دانستند که داده‌هایشان توسط شرکت‌ها جمع‌آوری می‌شود؛ اما از چگونگی تاثیر آن بر زندگی‌هایشان آگاه نبودند.

وقتی ما تمام اطلاعات ذخیره‌شده از خودمان را از شرکت‌ها درخواست می‌کنیم، آنها تنها داده‌هایی که خودمان در اختیارشان گذاشته‌ایم را ارسال می‌کنند. در نتیجه، آنها نه‌تنها جزئیات تاثیرگذار را حذف می‌کنند؛ بلکه این ایده را پرورش می‌دهند که تنها اطلاعات مورد استفاده، همین موارد ساده هستند.

فیسبوک نیز اخیرا به‌خاطر اقدامی مشابه، مورد حمله‌ی منتقدان قرار گرفت. این شرکت در حال تحقیق برای کشف روشی بود تا احساسات کاربران را دستکاری کند و به‌علاوه، زمان‌هایی که آنها در موقعیت‌های احساسی آسیب‌پذیر هستند را کشف کند. کشف دیگر در مورد این شرکت آن است که آنها، کاربران را از لحاظ اعتبار رتبه‌سنجی می‌کنند و البته مانند همیشه، جزئیات چگونگی این دسته‌بندی را فاش نمی‌کنند. در نهایت باید به این نکته اشاره کنیم که داده، ارز موردتبادل ما در دنیای فناوری است؛ اما خودمان نمی‌دانیم که روزانه چه مقدار از آن را خرج می‌کنیم.

اشتراک‌گذاری داده بین شرکت‌ها

در بخش آخر این مقاله، به پاسخ شرکت‌ها در برابر سوالی ساده از طرف کاربران پرداخته شده است: چه فرد یا شرکت دیگری به داده‌های من دسترسی دارد؟

برت کوهن یکی از شرکای شرکت حقوقی Hogan Lovells در این مورد می‌گوید:

پیش از اجرایی شدن GDPR، شرکت‌ها روندی برای ساختن نقشه‌ای از داده‌های کاربران و مقصد ارسالی آن نداشتند. این قانون موجب شد تا شرکت‌ها نگاهی عمیق‌تر به روند کاری خود و فرآیند‌های انجام‌شده با آن داشته باشند. به بیان دیگر این قانون، انگیزه‌ی آنها را افزایش داد.

پروفسور هادی اصغری نیر در تحقیقات خود به نتیجه‌ای در این مورد نرسیده است. او معتقد است بسیاری از شرکت‌ها، خودشان نیز از مقصد اطلاعات کاربران اطلاع ندارند.

یک نکته‌ی دیگر در این تحقیق،‌ روند تایید هویت شرکت‌ها برای ارائه‌ی اطلاعات شخصی به کاربران بوده است. هیچ‌ روند استانداردی برای این مسئله تعبیه نشده است؛ به‌عنوان مثال Bumble برای تایید هویت، دو سند هویتی را به‌صورت ایمیل درخواست کرده است. این اپلیکیشن، اسنادی همچون گواهینامه‌ی رانندگی، پاسپورت، گواهی تولد و موارد مشابه را پیشنهاد داده است. اسپاتیفای، ۴ رقم آخر کارت اعتباری را درخواست کرده و تاکید کرده است که تمام رقم‌های کارت نوشته نشوند. شرکت‌هایی همچون گوگل، توییتر و لینکدین نیز تنها پس از ورود به حساب کاربری، از خبرنگاران خواسته‌اند که فرم‌های مخصوص درخواست اطلاعات را پر کنند.

جیوان کیم سراتو، مدیر حفاظت اطلاعات، حریم خصوصی و امنیت سایبری در شرکت حقوقی Norton Rose Fulbright در این مورد می‌گوید:

نکته‌ی مهم این است که شرکت‌ها نباید اطلاعاتی بیش از نیاز خود را جمع‌آوری کنند. به‌عنوان مثال اگر کسب‌وکار شما ارتباطی به کپی مدارکی همچون گواهینامه‌ی رانندگی یا عکس پاسپورت‌ ندارد، نیازی به جمع‌آوری آنها ندارید.کوچک کردن داده‌ها، زیربنای مفهوم حریم خصوصی است. شما باید تنها داده‌هایی را نگهداری کنید که ارزش افزوده‌ای برای کاربر داشته باشد. اگر داده، زمانی ارزش خود را برای کاربر از دست بدهد، نگهداری آن تنها برای شرکت هزینه خواهد داشت.

اظهار نظر این متخصص، رویکردی کاملا جدید در مورد جمع‌آوری داده را پیشنهاد می‌کند. روند عادی شرکت‌ها تا پیش از این بر آن بوده که هرگونه داده یا محتوای قابل دسترسی را (بدون توجه به هدف یا فایده‌ی آن برای شرکت)، جمع‌آوری کنند. سراتو در ادامه توضیح می‌دهد که ذخیره‌سازی داده در حال ارزان شدن است و احتمالا، پاک کردن داده‌ها به‌صورت منظم، برای شرکت‌ها هزینه‌ای بیش از نگهداری همیشگی آنها خواهد داشت.

اما GDPR قصد دارد این هزینه‌ها را برعکس کند. طبق این قانون، هزینه‌ی نگهداری اطلاعات باارزش، در صورتی که شرکت اطلاع دقیقی از فایده و کارایی آنها نداشته باشد، بسیار بالا خواهد بود. البته شایان ذکر است که این قانون هنوز در مراحل اولیه قرار دارد و اجرا کردن آن بر اساس قوانین محلی کشورها و آزمون و خطا، زمان می‌طلبد.

البته کارشناسان معتقدند شرکت‌هایی که خود را در نوک پیکان این قانون می‌بینند، از هر اقدامی برای هماهنگ شدن با آن استفاده می‌کنند؛ اما برخی شرکت‌ها هنوز در مرحله‌ی انتظار مانده‌اند. می‌توان گفت تنها دلیل انتظار آنها، ترس از عواقب اعتراض به قانون است.

متخصصان انتظار دارند که مقامات قانونی ابتدا شرکت‌های بزرگ فناوری، خصوصا آنهایی که به‌صورت مستقیم با مصرف‌کننده در ارتباط هستند را هدف قرار دهند. رسانه‌های اجتماعی، اپلیکیشن‌های موبایل، سرویس‌های سلامتی، تبلیغات و خودروهای خودران و همچنین شرکت‌هایی که بازار هدفشان کودکان هستند.

در نهایت باید به این نکته اشاره کنیم که مقامات رسمی در مورد جریمه کردن شرکت‌ها، اظهاراتی صریح داشته و عزم خود را جزم‌تر از همیشه نشان می‌دهند. جیوانی بوتارلی سرپرست حفاظت داده‌ی اتحادیه‌ی اروپا در این مورد می‌گوید:

کاملا واضح است که سوءاستفاده از کاربران به روندی عادی تبدیل شده بود. آژانس حفاظت از داده‌ی اروپا که من مدیر آن هستم، برای پایان دادن به این وضع عمل می‌کند. مردم به‌زودی و پیش از پایان سال، نتایج اولیه‌ی این اقدامات را شاهد خواهند بود.

در حال حاضر نگاه افکار عمومی منتظر اولین پرونده‌ی قانونی است که علیه یک شرکت بزرگ فناوری به جریان می‌افتد. آنها منتظرند تا مقدار جریمه‌‌ی آن شرکت احتمالی نیز مشخص شود. به بیان دیگر، این اقدام، بهترین نشانه از اثرگذار بودن قانون GDPR در حفاظت از اطلاعات کاربران در برابر احتکارکنندگان قدرتمند طلای قرن ۲۱ است.