Η ψηφιακή μετάβαση της δημόσιας διοίκησης στην Ελλάδα εξελίσσεται ραγδαία, με όλο και περισσότερες υπηρεσίες να προσφέρονται ψηφιακά και με δισεκατομμύρια ευαίσθητες εγγραφές —από φορολογικά στοιχεία και ιατρικά έως εκπαιδευτικά δεδομένα— να συγκεντρώνονται και να διαχειρίζονται ηλεκτρονικά. Πίσω, όμως, από αυτή την τεχνολογική πρόοδο, αποκρυσταλλώνεται μια ανησυχητική πραγματικότητα: η χώρα εκχωρεί ουσιαστικά τον έλεγχο του ψηφιακού της υποβάθρου σε πολυεθνικές εταιρείες με έδρα κυρίως τις Ηνωμένες Πολιτείες και, σε κάποιες περιπτώσεις, την Κίνα. Πρόκειται για μια στρατηγική εξάρτηση που υπονομεύει την εθνική ψηφιακή κυριαρχία και καθιστά το δημόσιο τομέα ευάλωτο σε εξωγενείς πιέσεις, εμπορικές ή και γεωπολιτικές.
Εκτός ελληνικής και ευρωπαϊκής δικαιοδοσίας
Ο νομικός κίνδυνος είναι υπαρκτός και δεν περιορίζεται σε θεωρητικά σενάρια. Ο νόμος των ΗΠΑ, ClarifyingLawfulOverseasUseofDataAct (εφεξής CLOUDAct) που ψηφίστηκε το 2018 ορίζει στο άρθρο 18 ότι οι πάροχοι ηλεκτρονικών υπηρεσιών που διατηρούν αρχεία δεδομένων θα πρέπει σε περίπτωση ποινικής έρευνας να επιτρέψουν στις αμερικάνικες αρχές να έχουν πρόσβαση στα δεδομένα που φιλοξενούνται στις βάσεις τους, ανεξαρτήτως του τόπου αποθήκευσης ή και διατήρησης αυτών. Με άλλα λόγια, ακόμα και αν τα δεδομένα Ελλήνων πολιτών φιλοξενούνται σε servers εντός της Ελλάδας ή της Ε.Ε., αρκεί να διαχειρίζονται από εταιρεία με έδρα στις ΗΠΑ ώστε να είναι προσβάσιμα από τις αρχές της χώρας αυτής, κατόπιν σχετικής εντολής.
Αντίστοιχες ανησυχίες εγείρονται και για εταιρείες με έδρα την Κίνα, όπου η κρατική εποπτεία και οι διατάξεις του Νόμου για την Εθνική Πληροφόρηση (2017) επιβάλλουν στις εταιρείες να παρέχουν δεδομένα στις αρχές όταν τους ζητηθεί.
Η Ευρωπαϊκή Ένωση, ήδη από το 2018 με την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (εφεξής ΓΚΠΔ), επιδιώκει να διασφαλίσει την προστασία των προσωπικών δεδομένων των πολιτών της, απέναντι σε παρόχους υπηρεσιών που δραστηριοποιούνται εντός της ευρωπαϊκής επικράτειας ανεξαρτήτως της χώρας που εδρεύουν.
Σύμφωνα με τον ΓΚΠΔ, η διαβίβαση των δεδομένων εκτός Ε.Ε. απαιτεί την ύπαρξη κατάλληλων εγγυήσεων και να γίνεται πάντα σύμφωνα με τις αρχές προστασίας δεδομένων που ορίζονται εντός του ΓΚΠΔ. Περαιτέρω, στο άρθρο 48 του Κανονισμού ορίζεται ότι οι δικαστικές εντολές τρίτων χωρών μπορούν να είναι έγκυρες μόνο εφόσον βασίζονται σε διεθνείς συμφωνίες όπως σύμβαση αμοιβαίας δικαστικής συνδρομής, που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης.
Η σύγκρουση των νομοθεσιών
Από τη μία ο CLOUD Act φέρεται να υπερισχύει του ευρωπαϊκού νόμου περί προστασίας προσωπικών δεδομένων όταν οι ποινικές έρευνες σχετίζονται με τα συμφέροντα των ΗΠΑ. Από την άλλη, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων έχει καταστήσει σαφές ότι οι πάροχοι υπηρεσιών που υπάγονται στο δίκαιο της ΕΕ δεν μπορούν να βασίζονται για τη διαβίβαση των δεδομένων στον CLOUD Act. Η σύγκρουση αυτή, επομίζει τους παρόχους με το βάρος της στάθμισης του νομικού αυτού διλήμματος: να συμμορφωθούν με τον CLOUD Act και να διακινδυνεύσουν την παραβίαση των αρχών του ΓΚΠΔ, ή να αρνηθούν τη συμμόρφωση με τον ΓΚΠΔ και να αντιμετωπίσουν τις νομικές κυρώσεις από τις ΗΠΑ;
Η αποκάλυψη από τη Γαλλία
Η συζήτηση έχει λάβει διεθνή διάσταση. Στη Γαλλία, η Γερουσία κατήγγειλε την προσφυγή του δημοσίου σε υπηρεσίες cloud της Microsoft για την πλατφόρμα «Health Data Hub», προκαλώντας πολιτικό σάλο. Όπως αποκάλυψε πρόσφατα δημοσίευμα του Brussels Signal (Ιούλιος 2025), ο νομικός διευθυντής της Microsoft στη Γαλλία, Anton Carniaux, παραδέχθηκε ενώπιον της Γερουσίας ότι η εταιρεία δεν μπορεί να εγγυηθεί ότι δεδομένα Γάλλων πολιτών δεν θα παραδοθούν σε αμερικανικές αρχές, εφόσον αυτές τα ζητήσουν.
Η παραδοχή αυτή αποκρυσταλλώνει τον πυρήνα του προβλήματος: η εξάρτηση από εταιρείες ξένου δικαίου υπονομεύει την εθνική κυριαρχία στον ψηφιακό χώρο.
Η ελληνική πραγματικότητα
Στην Ελλάδα, η χρήση υπηρεσιών cloud από αμερικανικές εταιρείες είναι ευρύτατα διαδεδομένη, ακόμα και σε κρίσιμους τομείς. Το έργο της εγκατάστασης data centers της Microsoft στην Αττική έχει παρουσιαστεί ως σημαντική επένδυση τεχνολογικής αιχμής. Το ίδιο ισχύει για τη χρήση υπηρεσιών της Amazon Web Services και της Google Cloud από φορείς του δημοσίου. Όμως, η ύπαρξη διακομιστών εντός ελληνικού εδάφους δεν σημαίνει ότι τα δεδομένα προστατεύονται από εξωτερική πρόσβαση, εφόσον η εταιρεία που τα διαχειρίζεται υπάγεται σε ξένη έννομη τάξη.
Η ελληνική νομοθεσία και η ευρωπαϊκή οδηγία GDPR δεν επαρκούν για να αποτρέψουν τέτοιες εξωτερικές παρεμβάσεις, ιδίως όταν αυτές προκύπτουν από εθνική νομοθεσία άλλων κρατών με υπερεξουσίες.
Το ψηφιακό ζήτημα είναι πολιτικό
Το πρόβλημα δεν είναι μόνο τεχνικό ή νομικό. Είναι βαθύτατα πολιτικό και γεωστρατηγικό. Η διαχείριση των δεδομένων πολιτών είναι πυλώνας της εθνικής κυριαρχίας στον 21ο αιώνα. Όταν τα κρίσιμα αυτά δεδομένα βρίσκονται ουσιαστικά υπό τον έλεγχο ή την επιτήρηση εξωχώριων αρχών, τίθεται εν αμφιβόλω η ίδια η δυνατότητα του κράτους να εγγυηθεί τα θεμελιώδη δικαιώματα των πολιτών του.
Σε περιόδους κρίσεων, όπως πανδημίες, φυσικές καταστροφές ή γεωπολιτική ένταση, ο έλεγχος των δεδομένων γίνεται θέμα ασφάλειας και αυτονομίας. Επιπλέον, η αδιαφάνεια ως προς το πού και πώς αποθηκεύονται τα δεδομένα αυξάνει τη δυσπιστία των πολιτών απέναντι στο κράτος και ενισχύει τα αισθήματα ανασφάλειας.
Υπάρχουν εναλλακτικές; Ναι – και είναι εφικτές
Η Ευρωπαϊκή Ένωση έχει ήδη αναγνωρίσει το πρόβλημα και προωθεί πρωτοβουλίες όπως το GAIA-X (https://gaia–x.eu), ένα ευρωπαϊκό πλαίσιο συνεργατικής ανάπτυξης υποδομών cloud, βασισμένο σε αρχές διαλειτουργικότητας, διαφάνειας και ευρωπαϊκού ελέγχου. Παράλληλα, ανοιχτές λύσεις cloud, όπως οι πλατφόρμες Nextcloud, OpenStack και Matrix, προσφέρουν τεχνολογικά ώριμες και ανεξάρτητες εναλλακτικές, που μπορούν να υλοποιηθούν είτε από δημόσιους φορείς είτε από κοινοπραξίες δημόσιου-ιδιωτικού τομέα με ρήτρες κυριαρχίας.
Κωνσταντινοπούλου Βασιλική, MSc in Law & ICT, CIPP/E, Αναπληρώτρια DPO ΕΔΥΤΕ.