ΠΡΟΣΤΙΜΟ-ΜΑΜΟΥΘ ΣΤΗΝ TWITTER ΓΙΑ ΠΑΡΑΝΟΜΗ ΠΩΛΗΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΧΡΗΣΤΩΝ

Είναι γεγονός πως το ύψος των προστίμων που απορρέουν από παραβιάσεις προσωπικών δεδομένων αυξάνεται με μαθηματική ακρίβεια με το πέρας του χρόνου και την ενδυνάμωση των νομοθεσίων προστασίας των δεδομένων. Η αμερικάνικη εταιρεία-κολοσσός Twitter αποτελεί τον τελευταίο θύτη, καθώς σε αυτή επεβλήθη από την Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) των ΗΠΑ και το αμερικανικό Υπουργείο Δικαιοσύνης πρόστιμο ύψους 150 εκατομμυρίων δολαρίων για παράνομη πώληση των προσωπικών δεδομένων χρηστών σε διαφημιζόμενες εταιρείες. Ωστόσο, η εξέλιξη αυτή δεν θα έπρεπε να  δημιουργεί ερωτήματα, δεδομένου ότι τα έσοδα του Twitter βασίζονται σε συντριπτικό ποσοστό στις διαφημίσεις που προβάλλονται στην πλατφόρμα.

Πιο συγκεκριμένα, η Επιτροπή κατηγόρησε το Twitter για πώληση αριθμών τηλεφώνων και διευθύνσεων emails 140 εκατομμυρίων χρηστών σε διαφημιζόμενες στην πλατφόρμα εταιρείες. Το ζήτημα ξεκινάει μάλιστα από το 2013 όταν το Twitter ξεκίνησε να ζητά τα τηλέφωνα και άλλα προσωπικά δεδομένα των χρηστών με τη δικαιολογία ότι είναι απαραίτητα για τη διασφάλιση της ασφάλειας των λογαριασμών τους και ότι τα δεδομένα αυτά θα είναι προστατευμένα από οποιονδήποτε τρίτο. Ωστόσο, η αμερικάνικη εταιρεία παρέλειψε να ενημερώσει τα υποκείμενα πως τα προσωπικά τους δεδομένα θα χρησιμοποιούνταν και για διαφημιστικούς σκοπούς. Πρόκειται συνεπώς για άμεση παραβίαση του και των δεσμεύσεων της Twitter, στην οποία με διοικητική εντολή της Επιτροπής FTC το 2011, απαγορεύτηκε στην εταιρεία να παραποιεί τις πρακτικές ασφαλείας και απορρήτου της και να επωφελείται από δεδομένα που συλλέγονται παραπλανητικά από τους χρήστες. Έλαβε χώρα έτσι παράνομη επεξεργασία προσωπικών δεδομένων των χρηστών του Twitter, καθώς δεν ενημερώθηκαν επαρκώς για τους σκοπούς της επικείμενης επεξεργασίας και δεν στοιχειοθετήθηκε η απαιτούμενη νομική βάση.

Μάλιστα, ο επικεφαλής υπεύθυνος ασφάλειας προσωπικών δεδομένων του Twitter, Damien Kieran, αναγνώρισε σε μια ανάρτηση σε σχετικό blog ότι τα προσωπικά στοιχεία των χρηστών «μπορεί να έχουν χρησιμοποιηθεί κατά λάθος για διαφήμιση». Δήλωσε ωστόσο ότι η εταιρεία δεν πουλά πλέον σε διαφημιστές πληροφορίες που συλλέγονται για λόγους ασφαλείας.

«Αν λέτε στους ανθρώπους ότι χρησιμοποιείτε τους αριθμούς τηλεφώνου τους για να προστατεύσετε τους λογαριασμούς τους και στη συνέχεια τους χρησιμοποιείτε για άλλους σκοπούς, τους εξαπατάτε και παραβιάζετε το νόμο», δήλωσε ο Sam Levine, επικεφαλής του Γραφείου Καταναλωτών της FTC σε σχετική συνέντευξη.

Αξίζει τέλος να αναφερθεί οτι η Επιτροπή Κεφαλαιοαγοράς των ΗΠΑ (SEC) είχε αποστείλει επιστολή στον δισεκατομμυριούχο Ελον Μασκ όταν ανακοίνωσε ότι απέκτησε το 9,2% των μετοχών του Twitter, ζητώντας εξηγήσεις γιατί υπέβαλε το σχετικό έγγραφο στην SEC με καθυστέρηση πολλών ημερών και εκτός των ορίων που ορίζονται από τον νόμο, αφού κάτι τέτοιο ενδεχομένως να σχετιζόταν με τη μόχλευση των τιμών των μετοχών. Ο Έλον Μασκ έχει επικρίνει το επιχειρηματικό μοντέλο της πλατφόρμας που βασίζεται ολοκληρωτικά στις διαφημίσεις, ενώ δεσμεύτηκε να διαφοροποιήσει τις πηγές εσόδων του.

ΚΑΙΝΟΤΟΜΙΕΣ ΣΤΟΝ ΕΡΓΑΣΙΑΚΟ ΧΩΡΟ ΣΤΑ ΠΛΑΙΣΙΑ ΤΟΥ Ν. 4808/2021

Βάσει του ν.4808/2021  είναι πλέον υποχρεωτική από  τους εργοδότες η λήψη μέτρων για την πρόληψη της παρενόχλησης στους χώρους εργασίας.

Οι εργοδότες ανεξάρτητα από τον αριθμό του προσωπικού που απασχολούν οφείλουν:

  • να προλαμβάνουν και να αντιμετωπίζουν περιστατικά βίας και παρενόχλησης
  • να αναρτούν στον χώρο εργασίας ενημερωτικό υλικό για τις διαδικασίες που υφίστανται σε επίπεδο επιχείρησης για την καταγγελία και την αντιμετώπιση τέτοιων μορφών συμπεριφοράς,

Επιχειρήσεις που απασχολούν πάνω από 20 εργαζόμενους  υποχρεούνται να υιοθετούν πολιτική για την πρόληψη και καταπολέμηση της βίας και της παρενόχλησης στην εργασία,  με τις πολιτικές αυτές  πρέπει:

  • Να προσδιορίζουν τα μέτρα που λαμβάνονται σε επίπεδο επιχείρησης για τον περιορισμό και την αντιμετώπιση των κινδύνων
  • Να λαμβάνουν μέτρα για την πρόληψη τον έλεγχο τον περιορισμό και την αντιμετώπιση των κινδύνων αυτών, καθώς και για την παρακολούθηση τέτοιων μορφών συμπεριφοράς.
  • Στα πλαίσια αυτά οι πολιτικές αυτές πρέπει να περιέχουν ασφαλείς διαύλους εύκολα προσβάσιμους για την υποδοχή των καταγγελιών, καθώς και για τον προσδιορισμό των αρμοδίων προσώπων εντός της επιχείρησης για την παραλαβή και εξέταση των καταγγελιών αυτών
  • Να ορίζουν  ένα πρόσωπο  ως πρόσωπο «αναφοράς» προκειμένου να καθοδηγεί  και να ενημερώνει τους εργαζόμενους, ανεξαρτήτως εάν του απευθύνονται με αφορμή περιστατικό βίας και παρενόχλησης ή όχι.
  • Σε περίπτωση μη τήρησης της νομοθεσίας οι ποινές κυμαίνονται μεταξύ 300 ευρώ και 50.000 ευρώ.
  • Στα πλαίσια εφαρμογής  των ανωτέρω πολιτικών ενθαρρύνεται η πιστοποίηση των εταιρειών με το Σήμα ισότητας.

ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΕΡΓΑΖΟΜΕΝΩΝ ΘΥΜΑΤΩΝ ΒΙΑΣ ΚΑΙ ΠΑΡΕΝΟΧΛΗΣΗΣ

Προσφυγή του ατόμου που θίγεται από περιστατικό βίας και παρενόχλησης, ακόμη και αν έχει λήξει η σχέση εργασίας του, πέραν των δικαστικών Αρχών, Ενώπιον της Επιθεώρησης Εργασίας,  και του  Συνηγόρου του Πολίτη και του προβλεπόμενου προσώπου αναφοράς, εάν πρόκειται για επιχείρηση που απασχολεί προσωπικό άνω των 20 ατόμων.

Η ΠΡΟΣΤΑΣΙΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΣΤΟΝ ΝΕΟ ΚΟΣΜΟ ΤΟΥ METAVERSE

Από τη δεκαετία του 1990 όταν και διαδόθηκε ευρέως το Internet, ο κυβερνοχώρος συνεχίζει να εξελίσσεται με εκπληκτικούς ρυθμούς. Έχουν δημιουργηθεί πλείστα εικονικά περιβάλλοντα που απαιτούν τη διαμεσολάβηση υπολογιστή για να λειτουργήσουν, όπως για παράδειγμα τα μέσα κοινωνικής δικτύωσης, τα λεγόμενα NFTs, αλλά και οι τεχνολογίες εκτεταμένης πραγματικότητας (extended reality), οι οποίες περιλαμβάνουν την εικονική πραγματικότητα (VR) και την επαυξημένη πραγματικότητα (AR). Όλα αυτά τα ψηφιακά περιβάλλοντα, αν και ασύνδετα συνήθως μεταξύ τους, έχουν οδηγήσει σε ραγδαίο ψηφιακό μετασχηματισμό, μέρος του οποίου αποτελεί πλέον και το “Metaverse”, ένας όρος που επινοήθηκε για να διευκολύνει περαιτέρω την ψηφιακή αλλαγή σε κάθε πτυχή της καθημερινότητας των ανθρώπων.

Αλλά, τι είναι το Metaverse;

Το Metaverse είναι ένα δίκτυο τρισδιάστατων, εικονικών κόσμων που στοχεύουν στην κοινωνική σύνδεση των ανθρώπων. Αποτελεί το επόμενο στάδιο ανάπτυξης του διαδικτύου, αφού λογίζεται ως μία τρισδιάστατη έκδοσή του, η αξιοποίηση του οποίου διευκολύνεται από τη χρήση γυαλιών και ακουστικών (headsets) εικονικής και επαυξημένης πραγματικότητας ή κατάλληλα τοποθετημένων αισθητήρων στον χώρο.

Μολονότι ο όρος έχει γίνει ευρέως γνωστός τα τελευταία χρόνια, η λέξη “metaverse” επινοήθηκε στην πραγματικότητα από τον συγγραφέα Neal Stephenson στο μυθιστόρημα επιστημονικής φαντασίας “Snow Crash” του 1992. Στο βιβλίο του, ο Stephenson αναφέρεται στο metaverse ως ένα ολοκληρωμένο ψηφιακό κόσμο που υπάρχει παράλληλα με τον πραγματικό κόσμο. Στο Metaverse του σήμερα, η φυσική πραγματικότητα συγχωνεύεται με τον ψηφιακό κόσμο, όπου τεχνολογίες που επιτρέπουν πολυαισθητηριακές αλληλεπιδράσεις συγκλίνουν με τα εικονικά περιβάλλοντα και τα αντικείμενα, δημιουργώντας εξατομικευμένους ψηφιακούς χαρακτήρες, τα «άβαταρ». Μέσω αυτών των άβαταρ οι χρήστες έχουν τη δυνατότητα να γνωρίζουν φίλους, να συνεργάζονται με συναδέλφους, να παίξουν παιχνίδια, ακόμη και να πάνε για ψώνια.

Αν και το metaverse βρίσκεται ακόμη στα πρώτα στάδια ανάπτυξής τους, πολλοί είναι αυτοί που ισχυρίζονται ότι το Metaverse θα είναι το μέλλον του διαδικτύου και επομένως της καθημερινότητας των ανθρώπων. Με τις Big Tech Εταιρείες να έχουν ήδη επενδύσει σε μεγάλο βαθμό σε αυτές τις τεχνολογίες, ο ρυθμός ανάπτυξής τους αυξάνεται συνεχώς. Το headset εικονικής πραγματικότητας “Oculus Quest” της Meta (πρώην Facebook) αποτέλεσε ήδη ένα από τα πιο δημοφιλή χριστουγεννιάτικα δώρα στις ΗΠΑ το 2021. Δημοφιλείς εταιρείες, όπως η Nike, έχουν ήδη αγοράσει ακίνητα σε πλατφόρμες εικονικής πραγματικότητας, ενώ καλλιτέχνες, όπως η Ariana Grande, πραγματοποιούν συναυλίες μέσα στο metaverse ως άβαταρ, που αλληλοεπιδρούν με άλλα σε πραγματικό χρόνο.

Εκτός όμως από τα παραπάνω, το Metaverse περιλαμβάνει επίσης μια έκρηξη πληροφοριών. Ο όγκος των προσωπικών δεδομένων που συλλέγονται από τους χρήστες είναι τεράστιος, κι έτσι, αναπόφευκτα εμφανίζονται σημαντικά ζητήματα προστασίας της ιδιωτικότητας και των δικαιωμάτων των χρηστών.

Προστασία προσωπικών δεδομένων σε περιβάλλον εικονικής πραγματικότητας

Τα συστήματα εικονικής πραγματικότητας λειτουργούν καταγράφοντας εκτεταμένα βιομετρικά δεδομένα για το σώμα ενός χρήστη, συμπεριλαμβανομένων βιολογικών δεδομένων όπως η ταχύτητα της κίνησης των ματιών, η θερμοκρασία του σώματός του, αλλά και οι αυθόρμητες αντιδράσεις του σε ερεθίσματα. Μάλιστα, σύμφωνα με μία έρευνα,  περνώντας μόλις 20 λεπτά σε έναν προσομοιωτή εικονικής πραγματικότητας, καταγράφονται σχεδόν δύο εκατομμύρια μοναδικές εγγραφές της γλώσσας του σώματος. Επιπλέον, μία άλλη έρευνα συμπεραίνει πως μόλις πέντε λεπτά σε έναν τέτοιο προσομοιωτή, έχοντας αποκρύψει πλήρως όλα τα προσωπικά αναγνωριστικά του χρήστη, αρκούν για να ταυτοποιηθεί με ακρίβεια 95%, με την αξιοποίηση αλγορίθμων μηχανικής μάθησης.

Η συλλογή τέτοιου όγκου δεδομένων ίσως μπορεί να οδηγήσει σε βιομετρική καταγραφή των ανθρώπων με επακόλουθη συνέπεια την αποκάλυψη πληροφοριών για τις προτιμήσεις τους και τα ενδιαφέροντά τους. Κι αυτό διότι στις εμπειρίες της εικονικής πραγματικότητας δεν αποτυπώνονται μόνο οι εξωτερικές συμπεριφορές του χρήστη, αλλά και οι συναισθηματικές του διακυμάνσεις ή αντιδράσεις σε συγκεκριμένες καταστάσεις, με την καταγραφή για παράδειγμα της διαστολής της κόρης των ματιών ή της αλλαγής στις εκφράσεις του προσώπου του. Εάν για παράδειγμα ένας χρήστης αντικρίσει σε ένα περιβάλλον εικονικής πραγματικότητας ένα λαμπερό κόκκινο αυτοκίνητο, η συναισθηματική απόκρισή του μπορεί εύκολα να αναλυθεί, να καταγραφεί και να παρακολουθηθεί, ακόμα και σε πραγματικό χρόνο. Η διαστολή της κόρης του θα μπορούσε να αποτυπώσει τον ενθουσιασμό που νιώθει ο χρήστης βλέποντας το αυτοκίνητο και οι γαλβανικές αποκρίσεις του δέρματος θα μπορούσαν να αποτυπώσουν την ένταση των συναισθημάτων του. Στο βαθμό μάλιστα που αυτά τα προσωπικά δεδομένα χρησιμοποιούνται από τους παράγοντες του Metaverse για να αξιολογήσουν τον χρήστη ή για να λάβουν αποφάσεις σχετικά με αυτόν, τότε θεωρούνται προσωπικά δεδομένα ειδικών κατηγοριών σύμφωνα με τον GDPR και οι εγγυήσεις για την προστασία τους θα πρέπει να είναι αυξημένες.

Η πρόσβαση σε τέτοια δεδομένα μπορεί να οδηγήσει σε εξαιρετικά αδιαφανείς και παρεμβατικούς τρόπους κατάρτισης προφίλ των φυσικών προσώπων, σε εκτεταμένη κατηγοριοποίησή τους, ακόμη και σε στόχευση προσώπων με βάση τα καταγεγραμμένα χαρακτηριστικά τους. Υπάρχουν ήδη αρκετές περιπτώσεις λήψης αποφάσεων βάσει τέτοιων πρακτικών και αλγοριθμικών συστημάτων.

Επιπρόσθετα, στο Metaverse, ο καθορισμός της οντότητας ή των οντοτήτων που θα έχουν την ευθύνη για τον προσδιορισμό των προσωπικών δεδομένων που θα υποβληθούν σε επεξεργασία και τον σκοπό επεξεργασίας (Υπεύθυνος Επεξεργασίας των δεδομένων), σίγουρα είναι μία δύσκολη απόφαση, αφού πιθανώς να περιλαμβάνει τον καθορισμό συγκεκριμένων ρόλων μέσω σε έναν περίπλοκο ιστό σχέσεων χωρίς προφανείς αρμοδιότητες.

Η δημιουργία των άβαταρ

Κάθε φορά που ένας χρήστης εισέρχεται στο metaverse, δημιουργεί το άβαταρ του. Για να «ζήσει» όμως και να «συνυπάρξει» αυτό με τα υπόλοιπα στοιχεία του metaverse, αλλά και για να εκτελέσει τις επιθυμητές δραστηριότητες, απαιτείται η κοινή χρήση και η έκθεση όλο και περισσότερων δεδομένων του χρήστη με τις εταιρείες τεχνολογίας που έχουν δημιουργήσει το εκάστοτε εικονικό περιβάλλον. Οι εταιρείες αυτές είναι σε θέση να αξιοποιήσουν εύκολα αυτά τα δεδομένα για να εξορθολογήσουν και να προσαρμόσουν κατάλληλα τα προϊόντα και τις υπηρεσίες τους, σύμφωνα με τις ατομικές προσδοκίες των χρηστών. Μία τέτοια ωστόσο πρακτική θα μπορούσε να οδηγήσει σε μεγαλύτερη εποπτεία των δραστηριοτήτων του χρήστη, με χαρακτηριστικό και αναμενόμενο απότοκο ακόμη και την πώληση των δεδομένων αυτών σε διαφημιστές.

Φυσικά, καθώς οι χρήστες θα παράγουν ασταμάτητα περισσότερα δεδομένα μέσα στο Metaverse, ο κίνδυνος κλοπής τους είναι αυξημένος. Καθώς οι χρήστες αυξάνουν το ψηφιακό τους αποτύπωμα στον νέο ψηφιακό κόσμο και βιώνουν μια συνεχώς πιο καθηλωτική εμπειρία, δημιουργούν μεγάλο όγκο προσωπικών δεδομένων, γεγονός που εγείρει ερωτήματα σχετικά με το ποιος είναι υπεύθυνος για την αποθήκευσή τους, την εν γένει επεξεργασία τους, αλλά και τη διασφάλισή τους από τυχόν κακόβουλες, μη εξουσιοδοτημένες προσπάθειες πρόσβασης και εν τέλει παραβίασης της ιδιωτικότητάς τους. Μία παραβίαση του κυβερνοχώρου θα μπορούσε να επιφέρει άμεσο οικονομικό πλήγμα στην εταιρεία/δημιουργό του ψηφιακού περιβάλλοντος, με ακόμη μεγαλύτερες συνέπειες για τους χρήστες του.

Τελικά σχόλια

Οι παραπάνω είναι μόνο κάποιοι από τους κινδύνους που φαίνεται να εγκυμονεί η εξάπλωση του Metaverse για τα δικαιώματα και τις ελευθερίες των χρηστών του ως φυσικών προσώπων. Άλλα ζητήματα που προκύπτουν αφορούν ένα ευρύ φάσμα του εμπορικού και οικονομικού νομικού πλαισίου, όπως η νομιμοποίηση των εσόδων από παράνομες δραστηριότητες εντός του Metaverse, η ρύθμιση των χρηματοπιστωτικών υπηρεσιών, τα ζητήματα των NFTs, αλλά και πλήθος θεμάτων πνευματικής ιδιοκτησίας. Όσον αφορά τον τομέα της πνευματικής ιδιοκτησίας (copyright) ένα περίπλοκο ερώτημα θα ήταν εάν ένας χρήστης που δημιούργησε κάτι στο Metaverse, όπως το άβαταρ του, το σπίτι του ή το περιβάλλον δραστηριοποίησής του, θα κατέχει ο ίδιος τα δικαιώματα για τα δημιουργήματά του ή αυτά θα ανήκουν αποκλειστικά στην Εταιρεία στην οποία ανήκει το εικονικό περιβάλλον.

Εναπόκειται επομένως στις εταιρείες τεχνολογίας να προσαρμόσουν τις πολιτικές τους κατάλληλα, ώστε να μπορούν να ανταποκριθούν στις απαιτήσεις της επανάστασης που φέρνει σταδιακά ο κόσμος της εικονικής πραγματικότητας, ελαχιστοποιώντας τα ρίσκα για την παραβίαση της ιδιωτικότητας. Η Εταιρεία Meta έχει ήδη ανακοινώσει ότι πρόκειται να συνεργαστεί στενά με τους οργανισμούς για την προστασία των πολιτικών δικαιωμάτων προκειμένου να διασφαλίσει ότι το Metaverse αξιοποιεί μόνο τεχνολογίες που «έχουν κατασκευαστεί με τρόπο που να είναι περιεκτικός και ενδυναμωτικός για τα δικαιώματα και τις ελευθερίες των ατόμων.»

Μεγάλο μέρος του νομοθετικού πλαισίου για την προστασία της ιδιωτικότητας στο Metaverse αναμένεται να βρει εφαρμογή, όπως ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR), ενώ σε άλλες περιπτώσεις οι υφιστάμενοι νόμοι μπορεί να αποδειχθούν ανεπαρκείς για την αντιμετώπιση των συμπεριφορών στα εικονικά περιβάλλοντα, γεγονός που θα προκαλέσει την ψήφιση νέων νόμων και κανονισμών. Κάποιοι από αυτούς μπορεί να περιλαμβάνουν την ψήφιση του Digital Services Act, του Digital Markets Act, και του προτεινόμενου AI Regulation.

Καθώς το Metaverse γίνεται σταδιακά πραγματικότητα, αναμένεται να ανακύψουν και άλλα νομικά ζητήματα σχετικά με την προστασία των προσωπικών δεδομένων, που σίγουρα στην παρούσα φάση είναι αδύνατο να προβλεφθούν. Το καίριο ζήτημα που θα παραμείνει αφορά την αέναη παραγωγή πλήθους προσωπικών πληροφοριών για τους χρήστες του Metaverse, σε συνδυασμό με τη συνεχόμενη απαίτηση για νέο εξοπλισμό, τεχνικό υλικό και νέας γενιάς λογισμικό, τα οποία χρειάζεται εξ ορισμού και από τον σχεδιασμό τους να συνάδουν με τις θεμελιώδεις αρχές για την προστασία των προσωπικών δεδομένων.

 

Ελένη Καλπία

Δικηγόρος, Data Privacy Consultant

ΣΥΜΦΩΝΙΑ ΣΧΕΤΙΚΑ ΜΕ ΤΙΣ ΔΙΑΤΛΑΝΤΙΚΕΣ ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΜΕΤΑΞΥ Ε.Ε. ΚΑΙ Η.Π.A.

Η Ευρωπαϊκή Επιτροπή και οι Ηνωμένες Πολιτείες ανακοίνωσαν ότι κατ’ αρχήν συμφώνησαν σε ένα νέο, ενισχυμένο πλαίσιο για τις διατλαντικές ροές δεδομένων (“Trans-Atlantic Data Privacy Framework”), σηματοδοτώντας πιθανώς το τέλος της πολύμηνης νομικής αβεβαιότητας που εξακολουθεί να υφίσταται μετά από τη δικαστική απόφαση ορόσημο Schrems II του Δικαστηρίου της Ευρωπαϊκής Ένωσης, τον Ιούλιο του 2020, με την οποία είχε καταργηθεί η Privacy Shield.

Σχολιάζοντας τη συμφωνία την Παρασκευή 25 Μαρτίου, η Πρόεδρος της Ευρωπαϊκής Επιτροπής Ursula von der Leyen δήλωσε: «Είμαι πολύ ικανοποιημένη που καταλήξαμε σε μια κατ’ αρχήν συμφωνία για ένα νέο πλαίσιο για τις διατλαντικές ροές δεδομένων. Αυτό θα επιτρέψει προβλέψιμες, αξιόπιστες ροές δεδομένων μεταξύ ΕΕ και ΗΠΑ, προστατεύοντας την ιδιωτικότητα και τις πολιτικές ελευθερίες».

Σύμφωνα με το “Trans-Atlantic Data Privacy Framework”, τα δεδομένα θα μπορούν να ρέουν ελεύθερα και με ασφάλεια μεταξύ της ΕΕ και των εταιρειών στις ΗΠΑ. Οι ΗΠΑ επιπλέον θα θεσπίσουν εγγυήσεις και δεσμευτικές διασφαλίσεις με στόχο τον περιορισμό της πρόσβασης των αρχών πληροφοριών των ΗΠΑ μόνο σε όσα δεδομένα είναι απαραίτητα και αναλογικά για την προστασία της εθνικής ασφάλειας. Προβλέπεται επίσης ένα νέο σύστημα προσφυγής δύο επιπέδων για τη διερεύνηση και την επίλυση καταγγελιών Ευρωπαίων πολιτών σχετικά με την πρόσβαση σε δεδομένα από τις αρχές πληροφοριών των ΗΠΑ.

To νέο αυτό πλαίσιο στοχεύει στη διασφάλιση ενός ασφαλούς και επαρκούς επιπέδου προστασίας των δεδομένων των Ευρωπαίων που διαβιβάζονται στις ΗΠΑ, την εξασφάλιση της αποτελεσματικής εποπτείας των δραστηριοτήτων επιτήρησης από τις αρχές πληροφοριών, καθώς και στην ύπαρξη ανθεκτικών και αξιόπιστων νομικών βάσεων για την επεξεργασία των δεδομένων. Η προώθηση των ελεύθερων ροών δεδομένων επιπλέον επιδιώκει τη διευκόλυνση του διατλαντικού εμπορίου, με τη δημιουργία μίας ανταγωνιστικής ψηφιακής οικονομίας και οικονομικής συνεργασίας εταιρειών, ανεξαρτήτως μεγέθους και από όλες τις χώρες.

Αξίζει εδώ να σημειωθεί πως ο Max Schrems, ο δικηγόρος και ο ακτιβιστής του οποίου το όνομα έχει γίνει συνώνυμο με την κατάρριψη των συμφωνιών διαβίβασης δεδομένων σε υπερατλαντικό επίπεδο (Αποφάσεις Schrems I και Schrems II του ΔΕΕ) διατύπωσε ιδιαίτερες επιφυλάξεις ως προς το νέο πλαίσιο. Απαντώντας στην ανάρτηση της Ursula von der Leyen στο Twitter, εμφανίστηκε σκεπτικός, σχολιάζοντας πως «Φαίνεται ότι έχουμε άλλη μια Privacy Shield, ειδικά από μία άποψη: Πολιτική έναντι του νόμου και των θεμελιωδών δικαιωμάτων», υπογραμμίζοντας ότι, παρόμοια σχέδια έχουν αποτύχει άλλες δύο φορές στο παρελθόν, καθώς αποτελούν απλώς συνονθύλευμα δεσμεύσεων, χωρίς ουσιώδεις μεταρρυθμίσεις από την πλευρά των ΗΠΑ.

Συμπερασματικά, το προτεινόμενο πλαίσιο σηματοδοτεί μια ισχυρή δέσμευση από την πλευρά των ΗΠΑ να εφαρμόσει μεταρρυθμίσεις που θα ενισχύσουν την προστασία της ιδιωτικότητας και των πολιτικών ελευθεριών των ευρωπαίων πολιτών αναφορικά με την παρακολούθησή τους από τις αρχές πληροφοριών των ΗΠΑ. Αυτές οι δεσμεύσεις θα συμπεριληφθούν σε εκτελεστικό διάταγμα για την αξιολόγησή του από την Ευρωπαϊκή Επιτροπή. Χρειάζεται ωστόσεο να γίνει κατανοητό ότι η πλήρης και τελική αξιολόγηση του “Trans-Atlantic Data Privacy Framework” δεν ανήκει στους Επιτρόπους της Ε.Ε. ή στους ομολόγους τους στις ΗΠΑ, αλλά μόνο στο Δικαστήριο της Ευρωπαϊκής Ένωσης, το οποίο εν τέλει θα αποφασίσει για την επάρκεια και το επίπεδο προστασίας που προσφέρει το προτεινόμενο πλαίσιο.

Πηγές:
https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087,
https://www.whitehouse.gov,
https://noyb.eu

Happy Data Privacy Day!

Driven by the 16th Data Protection/Privacy Day on the 28th of January 2022, we would like to provide you with some tips for the adequate and efficient protection of your personal data and at the same time warn you for the adverse consequences which will arise in case of non-compliance.

The day was initiated by the Committee of Ministers of the Council of Europe in 2006 and it is celebrated in many European countries but also in the US and Canada. The purpose of Data Privacy Day is toraise awareness and promote privacy and data protection best practices.

First and foremost, companies should compose a strong privacy policy on the grounds that it constitutes the backbone of the data protection mechanism. Although technically a privacy policy is a legal document, it should be both accurate and comprehensible. It’s important to be straightforward and honest with customers about the consumer data you collect and what you do with it.

‘’Don’t collect what you don’t need’’. One of the cornerstone principles of the GDPR, namely the data minimization principle of Article 5. In particular, the data processing operations shall be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed. The more valuable information you possess and process, the bigger target you become for malicious activities. On the same wavelength, the aforementioned data shall be collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes.

SECURE YOUR DATA! Another substantial factor for your company’s smooth operation is the implementation of an updated and efficient security system. A useful advice would be to put into effect multiple layers of security, using spam filters to avoid malware and phishing scams and to keep your email safer and easier to use. Furthermore, all new devices must be scanned before being attached to your network. Lastly, the education of your employees is of pivotal importance for the adequate protection of your company. Since they are the handlers of customer data, they need to be kept up to date on how to protect that information to make sure it does not accidentally land in the wrong hands. 

ΜΠΟΡΕΙ Η ΑΠΟΥΣΙΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΝΑ ΟΔΗΓΗΣΕΙ ΣΕ ΕΠΙΒΟΛΗ ΠΡΟΣΤΙΜΟΥ;

Μία πολύ ενδιαφέρουσα απόφαση για την ενάσκηση των δικαιώματα των φυσικών προσώπων όσον αφορά τα προσωπικά τους δεδομένα, εξέδωσε το Ανώτατο Δικαστήριο του Βελγίου. Με την απόφαση αυτή έκρινε πως ένα υποκείμενο δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στην αρμόδια Εποπτική Αρχή Προστασίας Δεδομένων για κάποια πρακτική επεξεργασίας προσωπικών δεδομένων που παραβιάζει τις διατάξεις του GDPR, ακόμα κι εάν τα προσωπικά δεδομένα του δεν επεξεργάστηκαν ποτέ.

Στην υπό εξέταση υπόθεση, μία Εταιρεία ζήτησε από τους πελάτες της να παρέχουν την ταυτότητά τους (“identity card”) ηλεκτρονικά προκειμένου αυτή να «διαβαστεί» από το λογισμικό της Εταιρείας, με σκοπό οι πελάτες της να αποκτήσουν μια κάρτα επιβράβευσης και να επωφεληθούν από εκπτώσεις στις αγορές τους. Σημειώνεται δε πως δεν παρεχόταν στους πελάτες η δυνατότητα να παρέχουν τα προσωπικά τους δεδομένα με εναλλακτικά μέσα, για παράδειγμα παρέχοντας μόνο τα απολύτως απαραίτητα δεδομένα τους σε έντυπη μορφή ή μέσω email.

Έτσι, ένας πελάτης της Εταιρείας υπέβαλε καταγγελία για την πρακτική αυτή της τελευταίας στην Βελγική Αρχή Προστασίας Δεδομένων (Belgian Data Protection Authority). Ο πελάτης είχε αρνηθεί να παράσχει στην Εταιρεία την ταυτότητά του, ενώ επίσης αρνήθηκε να συγκατατεθεί στην εν λόγω επεξεργασία δεδομένων. Ως εκ τούτου, δεν μπόρεσε να εκδώσει την κάρτα επιβράβευσης.

Κατά την εξέταση της καταγγελίας, η Βελγική Αρχή διαπίστωσε ότι η πρακτική αυτή πράγματι παραβίαζε την αρχή της ελαχιστοποίησης των δεδομένων του άρθρου 5 του GDPR, σύμφωνα με την οποία οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να περιορίζεται σε ό,τι είναι απαραίτητο για την επίτευξη των σχετικών σκοπών. Ωστόσο, παλαιότερα, το δευτεροβάθμιο Δικαστήριο του Βελγίου είχε αποφανθεί ότι δεν θα μπορούσε να αποδειχθεί παραβίαση προσωπικών δεδομένων, με το σκεπτικό ότι ο πελάτης δεν είχε προσκομίσει καν τα προσωπικά του δεδομένων, εδώ την ταυτότητά του, και ως εκ τούτου δεν είχε πραγματοποιηθεί επεξεργασία των προσωπικών του δεδομένων.

Το Ανώτατο Δικαστήριο του Βελγίου ωστόσο δεν ακολούθησε την αιτιολόγηση του δευτεροβάθμιου. Αντιθέτως, τόνισε ότι μία παραβίαση προσωπικών δεδομένων μπορεί να επέλθει ακόμα κι όταν ο Υπεύθυνος Επεξεργασίας απαιτεί από τα υποκείμενα των δεδομένων να χορηγήσουν τα προσωπικά τους δεδομένα με σκοπό αυτά να επεξεργαστούν με τρόπο αντίθετο με τις απαιτήσεις προστασίας του GDPR, προκειμένου να επωφεληθούν από μία υπηρεσία. Συνεπώς, όταν η Αρχή Προστασίας Δεδομένων κρίνει ότι μια πρακτική οδηγεί σε παραβίαση δεδομένων, μπορεί να λάβει διορθωτικά μέτρα και –όπου ενδείκνυται– να επιβάλει διοικητικό πρόστιμο, ακόμη και αν τα προσωπικά δεδομένα του καταγγέλλοντα δεν υποβλήθηκαν ποτέ σε πραγματική επεξεργασία.

Η απόφαση αυτή φαίνεται να ακολουθεί τη συνολική λογική και το πνεύμα του GDPR, ο οποίος δεν επιδιώκει μόνο την προστασία των προσωπικών δεδομένων, αλλά και τη δημιουργία ενός σταθερού νομικού πλαισίου εντός του οποίου τα υποκείμενα των δεδομένων διαθέτουν τον έλεγχο των προσωπικών τους δεδομένων, χωρίς δυσάρεστες συνέπειες.

ΕΞΥΠΝΟ ΚΟΥΔΟΥΝΙ: ΕΝ ΔΥΝΑΜΕΙ ΑΠΕΙΛΗ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ;

Η τοποθέτηση καμερών αδιαμφισβήτητα αποτελεί πρακτική που έχει απασχολήσει την διεθνή κοινότητα σε μεγάλο βαθμό τα τελευταία χρόνια, ιδιαίτερα όταν πρόκειται για εγκατάσταση καμερών σε σπίτια και ιδιωτικούς χώρους, αφού έχει οδηγήσει κατά καιρούς σε σειρά παραβιάσεων της ιδιωτικότητας των φυσικών προσώπων, επιφέροντας κατά συνέπεια ιδιαίτερα επιβαρυντικά πρόστιμα για ιδιώτες και νομικά πρόσωπα. Με πρόσφατη απόφαση ενός Βρετανικού Δικαστηρίου, έρχονται να προστεθούν και τα ‘’έξυπνα’’ κουδούνια στις δυνητικές απειλές για την προστασία των προσωπικών δεδομένων.

Όλα ξεκίνησαν όταν ένας Βρετανός κάτοικος τοποθέτησε έξω από την οικία του ένα έξυπνο κουδούνι το οποίο περιείχε κάμερα που κατέγραφε ήχο και εικόνα από το σπίτι του γείτονά του. Κομβικό σημείο για την απόφαση αυτή όμως αποτέλεσε η αυτοματοποιημένη φύση της καταγραφής, αφού παρατηρήθηκε αυτόματη ενεργοποίηση καταγραφής ήχου όταν εντοπιζόταν κίνηση. Επιπρόσθετο επιβαρυντικό παράγοντα αποτέλεσε και το μεγάλο εύρος κάλυψης της κάμερας καθώς κατέγραφε σημαντικό μέρος του εξωτερικού χώρου του γειτονικού σπιτιού. Τέλος, στη δυσχέρανση της θέσης του Βρετανού κατοίκου συνετέλεσε το γεγονός ότι δεν υπήρχαν προειδοποιητικές πινακίδες που να ενημερώνουν για την καταγραφή ήχου και εικόνας.

Η απόφαση αυτή πιθανόν δεν θα επηρεάσει τη χρήση των συμβατικών κουδουνιών αλλά ίσως δημιουργήσει δεδικασμένο για κάμερες γύρω από ιδιωτικές κατοικίες που είναι συνεχώς σε λειτουργία ή ενεργοποιούνται με τον εντοπισμό κίνησης. Μάλιστα, ένα θεμελιώδες αποκύημα της απόφασης αυτής ήταν ότι ο Βρετανός κάτοικος που τοποθέτησε τα προαναφερθέντα ‘έξυπνα΄ κουδούνια ορίστηκε από το Δικαστήριο ως ‘data controller’ (Υπεύθυνος Επεξεργασίας) και συνεπώς κατέστη υπόλογος σε ενδεχόμενα πρόστιμα που προβλέπει ο ΓΚΠΔ. Η απόφαση αυτή ίσως οδηγήσει στην αναθεώρηση πολλών ιδιωτών που σκοπεύουν να εγκαταστήσουν ανάλογες συσκευές στην οικία τους, ωστόσο  θα χρειαστούν περαιτέρω παρόμοιες αποφάσεις για να οδηγηθούμε σε επανασχεδιασμό των ‘έξυπνων’ κουδουνιών.

Εν κατακλείδι, είναι φανερό πως η ραγδαία αύξηση της τεχνολογίας σε συνδυασμό με την τάση ευαισθητοποίησης προς την ιδιωτικότητά μας θέτει σε καθημερινή βάση πολύπλευρα και αμφίσημα νομικά αλλά και πρακτικά ερωτήματα. Η ευκολία με την οποία μπορούμε να προμηθευθούμε εξελιγμένες τεχνολογικές συσκευές θα πρέπει να συνοδεύεται  με την όξυνση του αισθήματος της ατομικής ευθύνης προκειμένου να αποφεύγονται παραβατικές συμπεριφορές που διακινδυνεύουν την ακεραιότητα της προσωπικής ζωής των ανθρώπων.

ΠΩΣ ΕΝΑ ΓΕΥΜΑ ΜΠΟΡΕΙ ΝΑ ΔΙΑΚΙΝΔΥΝΕΥΣΕΙ ΤΗΝ ΙΔΙΩΤΙΚΟΤΗΤΑ ΣΑΣ

Σε μία προσπάθεια για την παρεμπόδιση της εξάπλωσης του Covid-19, οι χώροι εστίασης αντικαθιστούν σταδιακά τα κλασικά τυπωμένα μενού με ψηφιακά, στα οποία παρέχεται εύκολη πρόσβαση  μέσω QR κωδικών (Quick Response codes). Δεδομένου ότι οι κωδικοί QR επιτρέπουν την γρήγορη απεικόνιση των μενού, διευκολύνοντας τη διαδικασία της παραγγελίας, γίνονται ολοένα και πιο δημοφιλείς. Μήπως όμως αυτή η «ανέπαφη» τεχνολογία προκαλεί περισσότερο κακό παρά καλό, ειδικότερα αναφορικά με την ιδιωτικότητα και την ασφάλεια των πελατών;

Ένας QR κωδικός μπορεί να συνδεθεί με οτιδήποτε αυξάνει την ικανότητα μίας επιχείρησης να εντοπίσει και να αναλύσει τη συμπεριφορά των πελατών της, συλλέγοντας προσωπικά δεδομένα όπως δεδομένα τοποθεσίας, τηλεφωνικούς αριθμούς και emails, ακόμα και πληροφορίες πιστωτικών καρτών. Τα δεδομένα αυτά θα μπορούσαν εύκολα να τροφοδοτήσουν βάσεις δεδομένων χωρίς την ενημέρωση ή τη συγκατάθεση των χρηστών για διαφημιστικούς και προωθητικούς σκοπούς, εγείροντας έντονα ζητήματα ιδιωτικότητας αλλά και κινδύνους ασφαλείας.

Οι QR κωδικοί είναι προγραμματιζόμενοι κι έτσι μπορούν να χρησιμοποιηθούν εύκολα για να παρακολουθήσουν τις επιλογές των πελατών, όπως για παράδειγμα πότε, πού και πόσο συχνά σκανάρονται οι κωδικοί. Επιπλέον, ενεργοποιούν τα λεγόμενα και ευρέως διαδεδομένα “cookies”, τα οποία έχουν τη δυνατότητα να εντοπίσουν και να αποθηκεύσουν σε βάσεις δεδομένων στοιχεία όπως το ιστορικό παραγγελιών του πελάτη, το όνομα και την τοποθεσία του.

Επιπρόσθετα, η χρήση των κωδικών αυτών δημιουργεί αμφιβολίες για την ασφάλεια των δεδομένων, αφού μπορεί να αποτελούν ανοικτή δίοδο για την εισροή ιών ή άλλου κακόβουλου λογισμικού απευθείας στο κινητό τηλέφωνο του πελάτη. Η φασαρία και οι περισπασμοί του χώρου είναι πιθανό να καταλήξουν σε μη ασφαλή κλικ, αφού ο πελάτης δεν είναι διατεθειμένος να ελέγξει την ασφάλεια της σελίδας στην οποία εισέρχεται. Είναι επίσης γνωστό ότι ορισμένοι χάκερς επικολλάνε το δικό τους αυτοκόλλητο κωδικού QR πάνω από τον πραγματικό κωδικό του εστιατορίου που ενδεχομένως υπάρχει σε ένα μενού. Με αυτόν τον τρόπο μπορούν να ανακατευθύνουν τον πελάτη σε ένα διαφορετικό, δικό τους ιστότοπο που φιλοξενεί κακόβουλο λογισμικό.

Η παρουσίαση ενός διαδικτυακού μενού στο τηλέφωνο του πελάτη δεν σημαίνει βέβαια ότι αυτός παραδίδει κατευθείαν σε κακόβουλους χάκερς τα προσωπικά του δεδομένα, ωστόσο δίνει τη δυνατότητα στο εστιατόριο να γνωρίζει τις προτιμήσεις του, τις οποίες μπορεί στη συνέχεια να αξιοποιήσει για να πουλήσει καλύτερα τα προϊόντα του. Άλλωστε, η πλειοψηφία των συστημάτων QR κωδικών δεν διαθέτει σαφείς δικλείδες ασφάλειας απορρήτου. Δεν υπάρχει διαφάνεια ως προς τη συλλογή των δεδομένων κινητού και τη νομική βάση επεξεργασίας των δεδομένων του πελάτη, καθώς ούτε και αναφορικά με τις τρίτες ιστοσελίδες με τις οποίες μπορεί να συνδέεται η σελίδα του εστιατορίου ή τους πιθανούς αποδέκτες των δεδομένων των πελατών. Αν υποτεθεί για παράδειγμα ότι επισκεφτήκατε πρόσφατα ένα γαλλικό εστιατόριο, μη σας φανεί περίεργο τον επόμενο καιρό να σας εμφανίζονται διαφημίσεις για άλλα γαλλικά εστιατόρια κοντά σας.

Για τον μετριασμό των κινδύνων που σχετίζονται με τα ίχνη που μένουν πίσω μετά από μία έξοδο σε ένα εστιατόριο, υπάρχουν κάποιες προφυλάξεις που θα μπορούσαν να λάβουν οι πελάτες. Το σημαντικότερο είναι να αντιμετωπίζουν τους QR κωδικούς με τον ίδιο τρόπο που διαχειρίζονται ένα συνημμένο αρχείο σε ένα email. Οι άγνωστοι υπερσύνδεσμοι και οι ιστοσελίδες θα πρέπει να αποφεύγονται, ενώ οι πελάτες δεν θα πρέπει να κατεβάζουν κανένα αρχείο στο κινητό τους τηλέφωνο. Επιπρόσθετα, θα πρέπει να κρατούν τα μάτια τους ανοιχτά για τυχόν αυτοκόλλητα πάνω από τους πραγματικούς QR κωδικούς.

Από την πλευρά των εστιατορίων, αυτά χρειάζεται να επενδύουν σε αξιόπιστα λογισμικά QR κωδικών, με τεκμηριωμένα και αυστηρά τεχνικά μέτρα ασφαλείας, που να διασφαλίζουν πως τα προσωπικά δεδομένα των πελατών τους θα παραμένουν ασφαλή και εμπιστευτικά.

Μπορεί εν τέλει οι ψηφιακές εκδόσεις των μενού στα εστιατόρια να εμποδίζουν την εξάπλωση των μικροβίων, χωρίς όμως την δέουσα προσοχή, ίσως κοστίσουν την ιδιωτικότητα των πελατών.

ΠΡΟΣΤΑΤΕΥΟΥΝ Ή ΜΑ-ΝΤΡΩΝΟΥΝ ΤΟΥΣ ΠΟΛΙΤΕΣ

Η αξιοποίηση drones για την καταγραφή εικόνων σε πραγματικό χρόνο στις πόλεις έχει αρχίσει να αποτελεί μία νέα, μάλλον ανησυχητική μέθοδο για την παρακολούθηση των πολιτών από τις δημόσιες αρχές. Η Garante, η Ιταλική Εποπτική Αρχή για την Προστασία των Δεδομένων ξεκίνησε μία έρευνα κατά τέτοιων πρωτοβουλιών, των οποίων η εμφάνιση γίνεται ολοένα πιο συχνή και εύκολη, και θα μπορούσε να έχει επιζήμια αποτελέσματα για την ιδιωτικότητα των ατόμων που παρακολουθούνται.

H Garante επιθυμεί να λάβει μέτρα για τη διασφάλιση της σωστής επεξεργασίας δεδομένων που πραγματοποιείται με τη χρήση drones, ξεκινώντας με τον Δήμο του Μπάρι. Ο τελευταίος, σύμφωνα με ένα δελτίο τύπου που εξέδωσε στον ιστότοπο του, εκτός από τον στόλο των drones που χρησιμοποιεί ήδη η τοπική Αστυνομία, επιθυμεί να αξιοποιήσει παραπάνω drones με σκοπό να ελέγξει ενδεχόμενες συγκεντρώσεις που δεν συμβαδίζουν με τους περιορισμούς που έχουν επιβληθεί για τη διαχείριση της πανδημίας του covid-19. Ο Δήμος θα πρέπει να παράσχει στην Αρχή εντός 20 ημερών όλες τις πληροφορίες που ζητούνται (τεχνικά χαρακτηριστικά των drones, επιδιωκόμενοι σκοποί, χρόνοι διατήρησης των δεδομένων, επικοινωνίες και πρόσβαση από τρίτους), στέλνοντας και ένα αντίγραφο της Έκθεσης Εκτίμησης Αντικτύπου (DPIA) που θα πρέπει να έχει διενεργηθεί. Παρόμοιο αίτημα για παροχή πληροφοριών εστάλη και στη δημοτική Αστυνομία της Ρώμης, η οποία επιθυμεί να αξιοποιήσει 9 μικρά drones για να ελέγχει την επικράτεια (π.χ. για περιβαλλοντικές παραβάσεις, παράνομα απόβλητα, τοξικές καύσεις, παράνομες καταχρήσεις, κυκλοφοριακές ανάγκες κ.α.).

Στις 6 Σεπτεμβρίου, η Garante έστειλε επίσης αίτημα πληροφοριών στην δομή υγείας “USL Company Roma 3” προκειμένου να επαληθεύσει τη νόμιμη επεξεργασία δεδομένων προσωπικού χαρακτήρα, σε συνέχεια της πρωτοβουλίας που θα υλοποιούταν στις 4 και 5 Σεπτεμβρίου στις παραλίες της Ostia. Σύμφωνα με το σχετικό δελτίο τύπου, η Εταιρεία αυτή σκόπευε να ανιχνεύσει τη θερμοκρασία του σώματος των λουόμενων στην παραλία με την χρήση drones. Λαμβάνοντας έτσι υπόψη τον εξαιρετικά ευαίσθητο χαρακτήρα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που θα πραγματοποιούταν -τελικά αναβλήθηκε λόγω κακών καιρικών συνθηκών-, η Αρχή ζήτησε από την εταιρεία να παράσχει μια σειρά διευκρινίσεων, καθώς δεν παρουσιάστηκε κάποια σαφής νομική βάση που να μπορεί να νομιμοποιήσει αυτή την επεξεργασία. Εντός 7 ημερών, η εταιρεία θα πρέπει να διευκρινίσει, μεταξύ άλλων, ποιος είναι ο υπεύθυνος επεξεργασίας δεδομένων των λουόμενων που θα παρακολουθούνταν, τους λόγους ανίχνευσης, την αξιοπιστία του χρησιμοποιούμενου μέσου παρακολούθησης (drone), τις συνέπειες για όσους έχουν υψηλότερη θερμοκρασία σε σύγκριση με τη φυσιολογική, καθώς και με ποιον τρόπο θα ενημερώνονται τα υποκείμενα των δεδομένων για αυτή την επεξεργασία.

Όσο τα drones αυξάνονται και γίνονται πλέον καθημερινότητα για τους πολίτες, τόσο αυξάνονται και οι ανησυχίες για την προστασία της ιδιωτικής ζωής, γεγονός που αποδεικνύεται και από τις ενέργειες των εποπτικών αρχών. Φυσικά, δεν μπορεί να απαγορευτεί η χρήση τους, ωστόσο πριν από την έναρξη λειτουργίας τους θα πρέπει ο κάθε οργανισμός να έχει προσδιορίσει σαφώς τη νομική βάση επεξεργασίας,  τους σκοπούς για τους οποίους προβαίνει σε αυτή την ενέργεια και τους χρόνους αποθήκευσης των εικόνων, να έχει καταγράψει όλα τα τρίτα μέρη που μπορεί να έχουν πρόσβαση στα δεδομένα που καταγράφονται, καθώς και να έχει διενεργήσει μία λεπτομερή εκτίμηση αντικτύπου για την προστασία των δεδομένων, με σαφή απεικόνιση των κινδύνων, των ρίσκων και των μέτρων προστασίας που έχουν ληφθεί.

ΑΝΗΣΥΧΙΕΣ ΓΙΑ ΜΑΖΙΚΗ ΕΠΙΤΗΡΗΣΗ ΕΠΕΙΤΑ ΑΠΟ ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ APPLE ΓΙΑ ΣΑΡΩΣΗ ΤΩΝ ΦΩΤΟΓΡΑΦΙΩΝ ΣΤΟ iCLOUD

Η ανακοίνωση της Apple για ένα νέο σχέδιο αυτόματης σάρωσης φωτογραφιών των χρηστών στο iCloud με στόχο την καταπολέμηση της σεξουαλικής κακοποίησης έχει προκαλέσει έντονες ανησυχίες σχετικά με την αξιοποίησή του για σκοπούς μαζικής επιτήρησης. Το προτεινόμενο σύστημα “CSAM” της Apple δεν είναι τόσο διαφορετικό από τα συστήματα αναγνώρισης εικόνας που χρησιμοποιούνται για πάνα από μία δεκαετία από άλλους μεγάλους παρόχους αποθήκευσης cloud, ωστόσο όσον αφορά την ιδιωτικότητα των χρηστών φαίνεται να διευκολύνει τις αμερικανικές υπηρεσίες επιβολής του νόμου να ζητήσουν αυτές τις φωτογραφίες από την εταιρεία, ανοίγοντας ίσως τον δρόμο για την μαζική παρακολούθηση των ανθρώπων.

  • Πώς θα λειτουργεί το σύστημα της Apple;

Υπάρχουν τρία βασικά στοιχεία στο σύστημα, τα οποία αναμένεται να επηρεάσουν τα λογισμικά της Apple που περιλαμβάνουν το iCloud.  

1.Σκανάρισμα των φωτογραφιών

Το σύστημα της Apple θα σαρώνει όλες τις φωτογραφίες που είναι αποθηκευμένες στο iCloud για να διαπιστώσει εάν ταιριάζουν με τη βάση δεδομένων που διατηρεί το Εθνικό Κέντρο για τα Αγνοούμενα και Εκμεταλλευόμενα Παιδιά (NCMEC). Οι φωτογραφίες θα σαρώνονται στη συσκευή χρησιμοποιώντας μια βάση δεδομένων με γνωστούς κατακερματισμούς εικόνων (“hashes”) που παρέχονται από το NCMEC και άλλους οργανισμούς ασφάλειας παιδιών. Η Apple έπειτα θα μετατρέπει αυτή τη βάση δεδομένων σε ένα μη αναγνώσιμο σύνολο κατακερματισμών, το οποίο θα  αποθηκεύεται με ασφάλεια στις συσκευές των ίδιων των χρηστών. Έπετα, ξεκινάει η διαδικασία αντιστοίχισης. Σε περίπτωση που ένας λογαριασμός Apple ξεπεράσει το όριο πολλαπλών εμφανίσεων γνωστού περιεχομένου της βάσης CSAM, ένα παιδί δηλαδή εμφανίζεται σε πολλές φωτογραφίες ή μέρη τα οποία έχει επισκεφτεί ο χρήστης, ειδοποιείται αυτόματα η Apple και τα δεδομένα ελέγχονται χειροκίνητα (μη αυτοματοποιημένα), ενώ ο λογαριασμός του χρήστη απενεργοποιείται και ενημερώνεται το NCMEC.

Το σύστημα αυτό δεν έχει τελειοποιηθεί, με την εταιρεία να αναφέρει ότι υπάρχει λιγότερο από ένα στο ένα τρισεκατομμύριο πιθανότητα να επισημανθεί εσφαλμένα ένας λογαριασμός. Ωστόσο, οι χρήστες που πιστεύουν ότι έχουν επισημανθεί κατά λάθος μπορούν να προσφύγουν κατά της Εταιρείας.

2. Σκανάρισμα των μηνυμάτων

Το σύστημα της Apple χρησιμοποιεί αλγορίθμους μηχανικής μάθησης στις συσκευές για να σαρώνει τις φωτογραφίες στα μηνύματα που αποστέλλονται ή λαμβάνονται από ανηλίκους για σεξουαλικό υλικό, προειδοποιώντας τους γονείς στην περίπτωση που εντοπιστούν τέτοιες εικόνες. Οι γονείς μπορούν να ενεργοποιήσουν ή να απενεργοποιήσουν το σύστημα και κάθε τέτοιο περιεχόμενο που λαμβάνει ένα παιδί θα είναι θολό. Επιπρόσθετα, εάν ένα παιδί επιχειρήσει να στείλει μήνυμα σεξουαλικού περιεχομένου, θα ειδοποιηθούν άμεσα οι γονείς. Η Apple δηλώνει ότι δεν διαθέτει πρόσβαση στις φωτογραφίες που σαρώνονται στη συσκευή του παιδιού.

3. Παρακολούθηση των αναζητήσεων

Το τρίτο μέρος αποτελείται από ενημερώσεις στο Siri και την Αναζήτηση της Apple. Η Εταιρεία αναφέρει ότι οι λειτουργίες αυτές θα παρέχουν στους γονείς και τα παιδιά διευρυμένες πληροφορίες και βοήθεια εάν αντιμετωπίσουν μη ασφαλείς καταστάσεις. Το Siri και η Αναζήτηση Apple θα παρεμβαίνουν επίσης όταν οι χρήστες κάνουν ερωτήματα αναζήτησης που σχετίζονται με τη βάση δεδομένων CSAM, εξηγώντας ότι το ενδιαφέρον για αυτό το θέμα είναι προβληματικό.

  • Οι φόβοι που ενισχύθηκαν με την ανακοίνωση της Apple

Ένας προβληματισμός που οξύνθηκε μετά την ανακοίνωση αφορά την πίεση που θα μπορούσαν να ασκήσουν οι αμερικανικές αρχές επιβολής του νόμου στην εταιρεία, χρησιμοποιώντας ως λόγο άρσης του απορρήτου των φωτογραφιών των χρηστών τις έρευνες για άσεμνες φωτογραφίες. Η Apple δημοσίευσε ωστόσο μια ειδοποίηση στην ιστοσελίδα της δηλώνοντας πως θα απορρίψει κάθε κυβερνητική απαίτηση για μαζική παρακολούθηση, ότι δεν θα αποκρυπτογραφεί τα μηνύματα και ότι η κρυπτογράφηση από άκρο σε άκρο (end-to-end encryption) σε συσκευές θα εξακολουθεί να είναι πλήρως λειτουργική. Επιπλέον, επεσήμανε οι σαρώσεις CSAM θα μπορούν να απενεργοποιηθούν ολοκληρωτικά, απενεργοποιώντας τις Φωτογραφίες iCloud, ενώ επαλήθευσε το γεγονός ότι δεν θα σαρώνει συλλογές φωτογραφιών που έχουν αποθηκευτεί τοπικά στη συσκευή και δεν έχουν επιλεγεί για μεταφόρτωση στο iCloud. Ωστόσο, η δήλωση αυτή δεν ασχολήθηκε άμεσα με το ζήτημα των πιθανών αιτημάτων επιβολής του νόμου για πρόσβαση σε αρχεία μέσω CSAM σε μεμονωμένες έρευνες.

Επιπρόσθετα, μέσω των αλγορίθμων που αξιοποιούνται ελλοχεύει ο κίνδυνος δημιουργίας άλλων, διαφορετικών βάσεων προσώπων, στις οποίες να περιλαμβάνονται για παράδειγμα πολιτικοί διαδηλωτές. Ως προς τους φόβους αυτούς, η Apple απάντησε πως το σύστημα λειτουργεί μόνο με εικόνες που παρέχονται από το σύστημα του NCMC, ενώ δεν θα υπάρχει η δυνατότητα να προστεθούν χειροκίνητα νέα δεδομένα στις βάσεις.

Από τα παραπάνω γίνεται φανερό πως με ένα τέτοιο σύστημα σάρωσης φωτογραφιών και μηνυμάτων, η προστασία των προσωπικών δεδομένων των χρηστών πλέον δέχεται ισχυρό πλήγμα. Θα μπορούσε να πει κανείς πως η Apple βρίσκεται σε επικίνδυνα μονοπάτια που οδηγούν σε μια ατέρμονη επέμβαση στην ιδιωτικότητα των χρηστών, μέσω των συστημάτων της, που θα μπορούσαν εύκολα να καταχραστούν ορισμένα κράτη για σκοπούς μαζικού ελέγχου και επιβολής του νόμου.

Όπως ανέφερε και ο Edward Snowden σε μία ανάρτησή του στο Tweeter «Ανεξάρτητα από τις καλές προθέσεις της, η Apple πραγματοποιεί μαζική παρακολούθηση σε ολόκληρο τον κόσμο με αυτό το σύστημα. Να είστε βέβαιοι: εάν μπορούν να σαρώσουν τις φωτογραφίες των παιδιών σήμερα, μπορούν να σαρώσουν οτιδήποτε αύριο».

Top