În zelul lor de a reduce tehnologia marilor prin Legea piețelor digitale, legislatorii europeni riscă confidențialitatea și securitatea tuturor europenilor. Este timpul să acceptăm realitatea că măsurile menite să forțeze marile platforme să fie mai deschise, le vor obliga să-și coboare apărarea și să deschidă datele europenilor unor actori răi. Nici o cantitate de iluzii nu va schimba faptul că deschiderea forțată este într-o remorcheră cu securitatea. Prevederile de confidențialitate și securitate ale DMA nu se apropie de a lua problema în serios și se așteaptă în mod nerezonabil ca companiile de tehnologie să rezolve o nouă clasă de riscuri pe care le va crea DMA.
Nu poate fi contestat faptul că unele dintre ideile principale ale DMA, cum ar fi cele privind interoperabilitatea forțată sau portabilitatea datelor, vor crea noi riscuri de confidențialitate și securitate. Adevărata problemă este cât de neadecvat sunt abordate aceste riscuri în DMA. Legiuitorii par să creadă că este suficient pentru ei să spună companiilor de tehnologie: „Faceți acest lucru foarte riscant și dificil în timp ce vă asigurați că nu prezintă riscuri pentru confidențialitate și securitate”. Sau, cu alte cuvinte, „tocilar mai greu”. Acesta nu este o modalitate responsabilă de a reglementa și pune în pericol datele europenilor și accesul nostru la serviciile pe care ne bazăm.
Excluderea actorilor răi și nesiguri este esența securității
Una dintre cele mai discutate idei ale DMA, interoperabilitatea forțată, poate deveni foarte ușor unul dintre cele mai mari eșecuri ale politicii tehnologice. Propunerea inițială a DMA a fost relativ rezonabilă în comparație cu amendamentele radicale adoptate de Parlamentul European, în special în ceea ce privește rețelele sociale și serviciile de mesagerie. Dacă vor fi adoptate, acele reguli ar deschide datele europenilor exploatărilor de către actori răi la o scară care va face ca Cambridge Analytica să nu merite nici măcar menționate.
Refuzul de a face schimb de date cu terți neidentificați, necontrolați este exact ceea ce ar trebui să ne așteptăm de la furnizorii de servicii digitale. Dacă este luată în serios, „garantarea unui nivel ridicat de securitate” ar însemna că datele ar trebui schimbate numai cu întreprinderi care oferă cel puțin un nivel echivalent de securitate. Și aici este problema: nivelul de securitate oferit de marile companii de tehnologie utilizatorilor lor este în mare măsură de neegalat în lumea comercială și chiar și marea majoritate a organizațiilor guvernamentale nu le-ar putea egala.
Trebuie să evităm o cursă spre fund. Este posibilă o interoperabilitate sigură, dar probabil va însemna o frecare notabilă și excluderea start-up-urilor „doi băieți într-un subsol”. Va fi DMA interpretată într-un mod care să accepte această realitate sau va fi abordată această îngrijorare prin mai multe fluturi ale mâinii și prin învinovățirea tehnologiei mari pentru eșecurile concurenților lor? Răspunsul nu este greu de ghicit.
Similar cu interoperabilitatea forțată, DMA ar forța companiile din domeniul de aplicare să partajeze datele utilizatorilor cu alte companii, inclusiv datele care ar putea permite urmărirea căutărilor individuale ale utilizatorilor motoarelor de căutare. După cum a observat chiar și Autoritatea Europeană pentru Protecția Datelor, o mare cantitate de informații sensibile despre oricine poate fi adunată doar știind ce a căutat online.
A spune, la fel ca DMA, că o astfel de partajare ar trebui pur și simplu să fie supusă anonimizării, trădează o lipsă de înțelegere a cât de dificil este să partajezi datele la nivel de utilizator într-un mod care nu ar putea fi de-anonimizat. Tehnicile de de-anonimizare sunt doar în creștere în sofisticare. Pot exista puține speranțe că o regulă privind partajarea datelor la nivel de utilizator va fi aplicată în mod competent, prin urmare ar fi mult mai sigur pentru noi toți dacă nu devine niciodată lege.
Combinarea datelor este necesară pentru securitatea cibernetică
Pentru a fi eficienți, apărătorii cibernetici au nevoie de informații. Cu cât au mai multe informații despre acțiunile atacatorilor, cu atât pot proteja mai bine utilizatorii în grija lor. De exemplu, scanarea e-mailurilor primite pentru amenințări de securitate poate necesita integrarea serviciilor de securitate externe. Privind doar e-mail-ul poate da unele indicii, dar este ușor pentru atacatori să pregătească e-mail-uri care nu vor fi ușor identificate în acest fel.
DMA ar interzice combinarea datelor cu caracter personal din diferite servicii, cu excepția cazului în care utilizatorul oferă consimțământul specific. Pentru a continua să ofere nivelul actual de securitate conform DMA, furnizorii de servicii vor trebui să înceapă să bombardeze utilizatorii cu un nou tip de ferestre pop-up de consimțământ. Furnizorii vor risca, de asemenea, amenzi masive pentru furnizarea atât de prea multe informații, cât și prea puține sau pentru prezentarea consimțământului într-o lumină pozitivă. Într-un moment în care atacurile cibernetice devin din ce în ce mai periculoase, nu este înțelept să îngreuneze furnizorii de servicii să își protejeze utilizatorii.
Cum ar putea fi DMA mai sigur pentru utilizatori? Un pas în această direcție a fost propus de unele guverne ale UE – și anume, adăugarea unei dispoziții generale la articolul 7 DMA conform căreia paznicilor ar trebui să li se solicite doar să acționeze proporțional în temeiul DMA, ținând cont de necesitatea de a proteja confidențialitatea, siguranța utilizatorilor, calitatea și funcționalitatea serviciilor.
Creșterea confidențialității și securității informațiilor prin lege este notoriu dificilă, chiar dacă acesta este scopul explicit al legislației. Cu toate acestea, ar trebui cel puțin să ne așteptăm ca legea să nu scadă nivelul de confidențialitate și securitate. DMA, în special în versiunea Parlamentului European, sacrifică în mod clar confidențialitatea și securitatea utilizatorilor în favoarea ajutând unele companii să lupte cu tehnologia mare. DMA trebuie să se concentreze mai clar pe interesele utilizatorilor.