ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
Τα αποτελεσματα του 7ου Πανελληνιου Διαγωνισμου Ανοικτων Τεχνολογιων στην Εκπαιδευση
Μάθε για το ελεύθερο λογισμικό!
freedom

Όταν τα δεδομένα «σχετίζονται με εμάς»: Τι σηματοδοτεί η απόφαση SRB για το μέλλον της προστασίας δεδομένων στην ΕΕ

Η απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) στην υπόθεση Single Resolution Board (SRB) επαναφέρει στο επίκεντρο το πιο κρίσιμο ερώτημα της ψηφιακής εποχής:
Πότε τα δεδομένα θεωρούνται προσωπικά;

Η απάντηση σε αυτό το ερώτημα καθορίζει το εύρος και τη δύναμη των δικαιωμάτων που διασφαλίζει ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR). Καθώς η τεχνητή νοημοσύνη, τα data spaces και οι λεγόμενες “privacy-enhancing technologies” (PETs) διαμορφώνουν το νέο ψηφιακό οικοσύστημα, το ΔΕΕ υπενθυμίζει ότι η προστασία πρέπει να «ταξιδεύει» μαζί με τα δεδομένα — και όχι να εξαρτάται από την εκάστοτε τεχνική ή θεσμική σκοπιά του υπεύθυνου επεξεργασίας.

Η σημασία του ορισμού των προσωπικών δεδομένων

Το δικαίωμα στην προστασία δεδομένων, όπως κατοχυρώνεται στο Άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων, θεμελιώνεται σε μία απλή αλλά ουσιώδη αρχή:
Προσωπικά δεδομένα είναι κάθε πληροφορία που περιγράφει, επηρεάζει ή στοχεύει έναν άνθρωπο.

Η νομολογία του ΔΕΕ έχει σταθερά επιβεβαιώσει ότι τα δεδομένα δεν παύουν να είναι προσωπικά μόνο και μόνο επειδή δεν περιέχουν ονόματα.

  • Στην υπόθεση Breyer, ακόμη και μια διεύθυνση IP κρίθηκε ως προσωπικό δεδομένο.
  • Στην Nowak, ακόμη και τα γραπτά διαγωνίσματος θεωρήθηκαν ως δεδομένα που «αφορούν» ένα άτομο.
  • Στην IAB Europe, τεχνικοί αναγνωριστικοί κωδικοί για διαφημιστικούς σκοπούς κρίθηκαν επίσης προσωπικοί.

Η υπόθεση SRB συνεχίζει αυτή τη γραμμή.

Τι συνέβη στην υπόθεση SRB

Η SRB, στο πλαίσιο διαδικασίας αποζημίωσης μετόχων ισπανικής τράπεζας, συγκέντρωσε σχόλια από μετόχους και τα διαβίβασε σε εξωτερικό σύμβουλο αφού αντικατέστησε τα ονόματα με τυχαίους κωδικούς.

Η EDPS θεώρησε ότι η επεξεργασία αφορούσε προσωπικά δεδομένα, άρα οι μέτοχοι έπρεπε να ενημερωθούν καταλλήλως.
Το Γενικό Δικαστήριο διαφώνησε, αλλά το ΔΕΕ ανέτρεψε πλήρως την απόφαση αυτή, επισημαίνοντας ότι:

  • Η αναγνωρισιμότητα πρέπει να εκτιμάται αντικειμενικά, λαμβάνοντας υπόψη τα δεδομένα και τις τεχνικές που υπάρχουν στο περιβάλλον επεξεργασίας.
  • Η ψευδωνυμοποίηση δεν αφαιρεί το χαρακτηριστικό του προσωπικού δεδομένου.
  • Δεν αρκεί η αφαίρεση ονομάτων· το κρίσιμο είναι αν τα δεδομένα εξακολουθούν να περιγράφουν ανθρώπους με τρόπο που επηρεάζει τα δικαιώματά τους.

Με απλά λόγια:
ό,τι επηρεάζει ανθρώπους, παραμένει προσωπικό δεδομένο.

Ψευδωνυμοποίηση και αναγνώριση: τι ισχύει πραγματικά

Η απόφαση εξηγεί μία κρίσιμη διάκριση:

Ψευδωνυμοποίηση

– Ταυτοποιητικά στοιχεία αντικαθίστανται με τεχνητούς κωδικούς.
– Η επαναταυτοποίηση παραμένει δυνατή.
→ Άρα η επεξεργασία εξακολουθεί να υπάγεται στο GDPR.

Ανωνυμοποίηση

– Τα δεδομένα πρέπει να μην μπορούν να ταυτοποιήσουν κανέναν, ακόμη και με εύλογα διαθέσιμα πρόσθετα στοιχεία.
→ Η κατάσταση αυτή σπάνια επιτυγχάνεται στην πράξη.

Το ΔΕΕ επιβεβαιώνει ότι η αναγνωρισιμότητα δεν εξαρτάται από το αν ο συγκεκριμένος υπεύθυνος μπορεί να ταυτοποιήσει ένα πρόσωπο, αλλά από το αν αυτό είναι εύλογα δυνατό σε ένα δεδομένο πλαίσιο από οποιονδήποτε.

Αυτό προστατεύει από πρακτικές όπως το profiling, το singling-out και την έμμεση στοχοποίηση, ακόμη και όταν ένα όνομα δεν εμφανίζεται.

Γιατί η υπόθεση έχει τόσο μεγάλη σημασία σήμερα

Η απόφαση SRB έρχεται σε μια κρίσιμη στιγμή: η Ευρωπαϊκή Επιτροπή προωθεί την πρόταση Digital Omnibus, η οποία επιχειρεί να περιορίσει την έννοια των προσωπικών δεδομένων μόνο σε ό,τι μπορεί να ταυτοποιήσει ένας συγκεκριμένος υπεύθυνος επεξεργασίας.

Αυτό θα επέτρεπε σε εταιρείες και οργανισμούς να ισχυρίζονται ότι δεδομένα δεν είναι «προσωπικά» για αυτούς, ακόμη κι αν τρίτοι μπορούν εύκολα να αναγνωρίσουν τα σχετιζόμενα άτομα. Θα ακύρωνε έτσι δεκαετίες νομολογίας και θα άνοιγε επικίνδυνα «παράθυρα» αποφυγής λογοδοσίας.

Το ΔΕΕ όμως ήταν σαφές:
Η προστασία πρέπει να ακολουθεί τα δεδομένα – όχι την ευκολία των οργανισμών.

Οι επιπτώσεις για την τεχνητή νοημοσύνη και τα μεγάλα σύνολα δεδομένων

Η τεχνητή νοημοσύνη βασίζεται σε τεράστιους όγκους δεδομένων, τα οποία παρουσιάζονται συχνά ως «ανώνυμα». Όμως:

  • ακόμη και φαινομενικά αθώα δεδομένα μπορούν να συσχετιστούν και να αποκαλύψουν ταυτότητα ή ευαίσθητα χαρακτηριστικά,
  • τα μοντέλα μπορούν να προβλέψουν με ακρίβεια πολιτικές πεποιθήσεις, υγεία ή κοινωνικοοικονομική κατάσταση,
  • η «ανωνυμία» συχνά καταρρέει σε περιβάλλοντα όπου οι διασυνδέσεις των δεδομένων είναι ευκολότερες από ποτέ.

Η απόφαση SRB υπενθυμίζει ότι η απουσία ονόματος δεν σημαίνει απουσία κινδύνου.

Τι πρέπει να κάνουν οι ρυθμιστικές αρχές

Το κείμενο τονίζει ότι οι εποπτικές αρχές πρέπει:

  • να αξιολογούν τεχνικά και πραγματικά αν τα δεδομένα είναι πράγματι ανώνυμα,
  • να αποτρέπουν καταχρηστικούς ισχυρισμούς περί «αποπροσωποποίησης»,
  • να απαιτούν διαφάνεια, ρεαλιστική εκτίμηση κινδύνου και σαφή όρια χρήσης των δεδομένων,
  • να διασφαλίζουν ότι νέα εργαλεία (όπως τα PETs) δεν χρησιμοποιούνται ως πολιτικό πρόσχημα απορρύθμισης.

Συμπέρασμα: η ουσία δεν αλλάζει — τα δικαιώματα μένουν

Σε έναν κόσμο όπου η τεχνητή νοημοσύνη και η μαζική ανάλυση δεδομένων γίνονται κανόνας, η απόφαση SRB λειτουργεί ως κρίσιμη υπενθύμιση:

  • Προσωπικά δεδομένα είναι όσα μας περιγράφουν, μάς αφορούν ή μπορούν να επηρεάσουν τις ζωές μας.
  • Η «απλοποίηση» δεν μπορεί να γίνει εις βάρος των θεμελιωδών δικαιωμάτων.
  • Η προστασία δεδομένων δεν είναι τεχνικός περιορισμός· είναι δημοκρατική εγγύηση.

Η συζήτηση γύρω από το Digital Omnibus δείχνει ότι η πίεση για περιορισμό της προστασίας θα συνεχιστεί. Όμως το μήνυμα του ΔΕΕ είναι ξεκάθαρο:
Η προστασία δεδομένων πρέπει να ενισχύει τα δικαιώματα των ανθρώπων — όχι να διευκολύνει τις ανάγκες των οργανισμών.

Διαβάστε την πλήρη ανάλυση εδώ

Πηγή άρθρου: https://edri.org/

Leave a Comment