data privacy day

DATA PRIVACY DAY 2023 – 28 JANUARY

DATA PRIVACY DAY – 28 Ιανουαρίου

Η 28η  Ιανουαρίου καθιερώθηκε ως  Ημέρα Προστασίας των Προσωπικών Δεδομένων (Data Privacy Day), με πρωτοβουλία του Ευρωπαϊκού Συμβουλίου, η οποία μας υπενθυμίζει τη σημασία της προστασίας των δεδομένων μας.

Στη σύγχρονη κοινωνία, σε συνδυασμό και με τη ραγδαία ανάπτυξη της τεχνολογίας, παρατηρείται εκτεταμένη χρήση των προσωπικών δεδομένων των πολιτών. Μοιραία, σημειώνεται αύξηση των παραβιάσεων των προσωπικών δεδομένων τους. Οι πολίτες και  οι επιχειρήσεις  θα πρέπει να είναι προσεκτικοί με τα προσωπικά δεδομένα και να αναγνωρίζουν τη σημασία τους.

Ιστορική ανασκόπηση της καθιέρωσης της Ημέρας Προστασίας των Προσωπικών Δεδομένων

Η 28η Ιανουαρίου καθιερώθηκε το 2006 από το Ευρωπαϊκό Συμβούλιο ως  Ημέρα Προστασίας Προσωπικών Δεδομένων, με αφορμή τη συμπλήρωση των 25 χρόνων από την ημερομηνία (28.01.1981) κατά την οποία άνοιξε ο δρόμος για την υπογραφή της Σύμβασης 108. Η σύμβαση αφορούσε την Προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, που σηματοδότησε τη θέσπιση του πρώτου νομοθετικού εργαλείου για την προστασία των προσωπικών δεδομένων στην Ευρώπη. Το 2008, η Ημέρα Προστασίας των Προσωπικών Δεδομένων υιοθετείται από τις  Η.Π.Α, ενώ το 2009 αναγνωρίζεται επισήμως ως Παγκόσμια Ημέρα Προστασίας Προσωπικών Δεδομένων.

17η Παγκόσμια Ημέρα Προστασίας των Προσωπικών Δεδομένων

Κάθε χρόνο η εταιρεία μας τιμά με ποικίλους τρόπους την ημέρα αυτή. Με αφορμή τον προσεχή εορτασμό της 17ης Παγκόσμιας Ημέρας Προστασίας των Προσωπικών Δεδομένων, ετοιμάσαμε ένα video σχετικά με τη συγκεκριμένη ετήσια «γιορτή» των Προσωπικών Δεδομένων.

Περιεχόμενο video Data Privacy Day
  • Ορισμός Παγκόσμιας Ημέρας Προστασίας των Προσωπικών Δεδομένων (Data Privacy Day)
  • Χρονοδιάγραμμα της καθιέρωσης της συγκεκριμένης ημέρας και της εφαρμογής του GDPR στην Ευρωπαϊκή Ένωση
  • 5 χρόνια εφαρμογής του GDPR και τα πρόστιμα συνεχίζονται
  • Τα μεγαλύτερα πρόστιμα παραβίασης δεδομένων του 2022, σε Ευρώπη και Αμερική
  • Τι αναμένουμε να πραγματοποιηθεί το 2023

 

Σας ευχόμαστε μία ασφαλή καθημερινότητα!

Τα προσωπικά  δεδομένα έχουν αξία!

Μην ξεχνάτε να τα προστατεύετε!

 

HAPPY DATA PRIVACY DAY 2023

Ο ΔΡΟΜΟΣ ΓΙΑ ΤΗ ΣΥΜΦΩΝΙΑ ΑΠΟΡΡΗΤΟΥ ΤΟΥ ΟΟΣΑ

Η συμφωνία για τη διασυνοριακή διαβίβαση προσωπικών δεδομένων

Η δυνατότητα ασφαλών διασυνοριακών διαβιβάσεων δεδομένων κρίνεται απαραίτητη κατά την ψηφιακή εποχή για την εξυπηρέτηση της σύγχρονης κοινωνίας, ωστόσο προς αποφυγή παραβιάσεων απορρήτου επιβάλλεται η δημιουργία «κοινών αρχών – πεποιθήσεων». Πρόσφατα, ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) και η Ευρωπαϊκή Ένωση (ΕΕ) υπέγραψαν μια συμφωνία για την προστασία της ιδιωτικής ζωής με στόχο τη βελτίωση της διαφάνειας κατά την πρόσβαση των κυβερνήσεων σε Προσωπικά Δεδομένα που κατέχουν οι ιδιωτικές εταιρείες.

Η συμφωνία απορρήτου βασίζεται σε μία σειρά «κοινών αρχών – πεποιθήσεων». Οι αρχές της συμφωνίας απορρήτου απαιτούν επίσης τη διαχείριση δεδομένων μόνο από εξουσιοδοτημένο και ειδικευμένο προσωπικό, τη σύσταση καλά χρηματοδοτούμενων εποπτικών φορέων χωρίς παρεμβολές, καθώς και διαδικασίες δικαστικής και μη δικαστικής προσφυγής για τα υποκείμενα των δεδομένων.

Ενδεικτικά κράτη – μέλη του ΟΟΣΑ είναι μεταξύ άλλων οι Ηνωμένες Πολιτείες, ο Καναδάς, η Αυστραλία, η Νέα Ζηλανδία, η Ιαπωνία, η Κορέα και το Μεξικό, ενώ ορισμένες από αυτές τις χώρες έχουν περιορισμένη ή δεν έχουν καθόλου νομοθεσία περί απορρήτου δεδομένων σε εθνικό ή ομοσπονδιακό επίπεδο. Με τη συμμετοχή της ΕΕ, ο ΟΟΣΑ αντιπροσωπεύει την πρώτη ευρεία διακυβερνητική συμφωνία απορρήτου για την θεμελίωση της ισότητας σχετικά με την προστασία των δεδομένων.

Το ζήτημα της διεθνούς διαβίβασης δεδομένων

Το ζήτημα της διεθνούς διαβίβασης δεδομένων είναι η πρόσβαση των κυβερνήσεων στα προσωπικά δεδομένα αλλοδαπών πολιτών. Η εν λόγω συμφωνία απορρήτου του ΟΟΣΑ απορρίπτει προσεγγίσεις που δεν συνάδουν με τις δημοκρατικές αξίες και το κράτος δικαίου και καλεί τα μέλη να διασφαλίσουν τις κοινές αξίες. Επιπλέον, αποτελεί μία αναβάθμιση σε σύσταση του ΟΟΣΑ που είχε τεθεί σε εφαρμογή το 1980, σχετικά με τη πρόσβαση στο Διαδίκτυο και μία βάση για τη δημιουργία σχέσεων διαβίβασης δεδομένων.

Η συμφωνία απορρήτου έχει συναφθεί εν μέσω παρατεταμένης αβεβαιότητας σχετικά με το πώς θα λειτουργήσουν οι διεθνείς μελλοντικές διαβιβάσεις δεδομένων, ώστε να είναι σύμφωνες με τις αυστηρές απαιτήσεις της ΕΕ. Οι ΗΠΑ βρίσκονται στη προσπάθεια επεξεργασίας ενός νέου πλαισίου διαβίβασης για να αντικαταστήσει αυτό που εξαλείφθηκε από το Schrems II. Ο δυτικός κόσμος έχει ανταποκριθεί διαφορετικά όσον αφορά τα μέτρα προστασίας δεδομένων και πολλοί αρνούνται να εγκαταλείψουν την πρόσβαση των κυβερνήσεων στις ροές δεδομένων, ωστόσο υπάρχει επίγνωση ότι αυτή η απείθεια στους νόμους και η αντίληψη της εκτεταμένης ξένης επιτήρησης δημιουργεί κίνδυνο σοβαρών αρνητικών οικονομικών επιπτώσεων .

Παρά τις θετικές προοπτικές της συμφωνίας δεν έχουν επιλυθεί όλα τα ζητήματα, καθώς ορισμένοι από τους υπογράφοντες της συμφωνίας είχαν πρόσφατα προβλήματα με την παρακολούθηση κυβερνήσεων που αποτελούν σαφείς παραβιάσεις των «κοινών αρχών». Χαρακτηριστικό παράδειγμα αποτελεί το Μεξικό, το οποίο ήταν από τους πρώτους  που χρησιμοποίησε το λογισμικό κατασκοπείας Pegasus, με αρχικό σκοπό την παρακολούθηση εμπόρων ναρκωτικών. Η Τουρκία έχει επίσης αντιμετωπίσει βαριά διεθνή κριτική σχετικά με τους νόμους της για τα μέσα ενημέρωσης και τη στόχευση δημοσιογράφων.

Η άποψη του David Maynor

Παραμένει επίσης ασαφές εάν η εν λόγω συμφωνία θα ενισχύσει ορισμένα από τα Κράτη-Μέλη  που δεν θεωρούνται ασφαλείς διαβιβαστές δεδομένων σύμφωνα με τη νομοθεσία της ΕΕ. Ο David Maynor, διευθυντής της Threat Intelligence – Cybrary, πιστεύει ότι «Υπάρχει άφθονη διασυνοριακή ροή δεδομένων. Αυτή η συμφωνία κάνει όλα τα τυπικά λάθη της εστίασης σε θεωρητικά ή ακαδημαϊκά ζητήματα αντί να αντιμετωπίζει τις καθημερινές δυσκολίες της προστασίας δεδομένων. Μια συμφωνία θα πρέπει επίσης να περιλαμβάνει διατάξεις για τη σωστή συνεχή εκπαίδευση, για την εκπαίδευση στην ασφάλεια στον κυβερνοχώρο για όσους εμπλέκονται στον χειρισμό δεδομένων».

Εν κατακλείδι, σε κάθε περίπτωση η υπό συζήτηση συμφωνία δεν δημιουργεί κανενός είδους επίσημο πλαίσιο ούτε επιφέρει άμεση αλλαγή στις πρακτικές επεξεργασίας δεδομένων από οποιουδήποτε κράτος μέλος, αλλά δημιουργεί μια συμφωνία επί της αρχής που μπορεί να χρησιμοποιηθεί ως βάση για τη δημιουργία σχέσεων κατά την επεξεργασία των δεδομένων των υποκειμένων με ένα κοινό νομοθετικό καθεστώς θωράκισης των δικαιωμάτων τους.

AI ACT: ΜΙΑ ΕΠΕΞΗΓΗΜΑΤΙΚΗ ΜΑΤΙΑ ΣΤΙΣ ΕΞΕΛΙΞΕΙΣ

Όσο η τεχνολογία εξελίσσεται και οι ανάγκες του σύγχρονου κόσμου αυξάνονται, οι εφαρμογές τεχνητής νοημοσύνης αξιοποιούνται όλο και περισσότερο για τη λήψη σημαντικών αποφάσεων σχετικά με τη ζωή των ανθρώπων, με ελάχιστη έως καθόλου ανθρώπινη επίβλεψη. Η «κακή» χρήση, ωστόσο, της τεχνητής νοημοσύνης μπορεί να έχει σημαντικές συνέπειες, όπως η λήψη δυσμενών αποφάσεων με μεροληπτικά κριτήρια με βάση το φύλο, την εθνικότητα ή την ηλικία, που μπορεί να αφορούν την πρόσληψη ή την απόλυση εργαζομένων, τη βαθμολόγηση μαθητών ή υποψηφίων σε εξετάσεις, τη χορήγηση δανείων, ακόμη και την άσκηση ποινικών διώξεων.

Τον Απρίλιο του 2021, η Ευρωπαϊκή Επιτροπή υπέβαλε την πρότασή της για ένα ενιαίο ευρωπαϊκό κανονιστικό πλαίσιο για την τεχνητή νοημοσύνη, το λεγόμενο Artificial Intelligence Act ή αλλιώς AI Act. Η πρόταση αυτή αποτελεί την πρώτη προσπάθεια για μία οριζόντια ρύθμιση της ταχέως αναπτυσσόμενης τεχνητής νοημοσύνης, μέσω μίας προσέγγισης που βασίζεται στον κίνδυνο (risk-based approach), με στόχο να τονώσει και να ενθαρρύνει την καινοτομία, να διασφαλίσει ταυτόχρονα την αξιόπιστη χρήση της τεχνητής νοημοσύνης, θέτοντας ως επίκεντρο την προστασία των θεμελιωδών δικαιωμάτων των ανθρώπων.

Η εξωεδαφική εφαρμογή του AI Act και η προφανής επιρροή που θα ασκήσει σε παγκόσμιο επίπεδο για τους φορείς χάραξης πολιτικής (προκαλώντας το λεγόμενο “Brussels Effect”) καθιστούν σαφές ότι το νέο αυτό πλαίσιο θα παίξει καθοριστικό ρόλο στην ανάπτυξη της νομοθεσίας για την τεχνητή νοημοσύνη, καθώς και στην οικουμενική προσπάθεια για την επίτευξη διεθνούς συνεργασίας για την τεχνητή νοημοσύνη.

H Τεχνητή Νοημοσύνη στο AI Act

Πριν από την εξέταση των κύριων σημείων του νέου αυτού πλαισίου, χρειάζεται να γίνει σαφές το πεδίο εφαρμογής του. Είναι γνωστό πως δεν υπάρχει ένας ευρέως αποδεκτός ορισμός για την τεχνητή νοημοσύνη. Έτσι, το AI Act περιλαμβάνει ένα Παράρτημα που ορίζει τις τεχνικές και τις προσεγγίσεις που εμπίπτουν στο πεδίο εφαρμογής του.

Η Ευρωπαϊκή Επιτροπή επέλεξε έναν ευρύ και ουδέτερο ορισμό για τα συστήματα τεχνητής νοημοσύνης (εφεξής ως «συστήματα ΤΝ»), χαρακτηρίζοντάς τα ως «λογισμικό που αναπτύσσεται με μία ή περισσότερες από τις τεχνικές και προσεγγίσεις που παρατίθενται στο παράρτημα I και μπορεί, για ένα δεδομένο σύνολο στόχων που έχουν καθοριστεί από τον άνθρωπο, να παράγει στοιχεία εξόδου όπως περιεχόμενο, προβλέψεις, συστάσεις ή αποφάσεις που επηρεάζουν τα περιβάλλοντα με τα οποία αλληλεπιδρά» [άρθρο 3 στ. (1) AI Act]. Οι τεχνικές που αναφέρονται στο Παράρτημα της πρότασης καλύπτουν ένα ευρύ φάσμα τεχνολογιών, οι οποίες περιλαμβάνουν τόσο προσεγγίσεις μηχανικής μάθησης όσο και προσεγγίσεις που βασίζονται στη λογική και τη γνώση (logic-and knowledge-based).

Ρύθμιση συστημάτων τεχνητής νοημοσύνης

Στο ΑΙ Act, τα συστήματα TN ταξινομούνται σε 4 κατηγορίες ανάλογα με τον αντιληπτό κίνδυνο που ενέχουν:

  • Συστήματα μη αποδεκτού κινδύνου, τα οποία απαγορεύονται πλήρως (αν και ισχύουν ορισμένες εξαιρέσεις)
  • Συστήματα υψηλού κινδύνου, τα οποία ενέχουν απαιτήσεις τεκμηρίωσης και ιχνηλασιμότητας, διαφάνειας, ανθρώπινης εποπτείας, ακρίβειας και στιβαρότητας, αρχών απολύτως αναγκαίων για τον μετριασμό των κινδύνων που ενέχει η τεχνητή νοημοσύνη
  • Συστήματα χαμηλού κινδύνου, τα οποία απαιτούν διαφάνεια από την πλευρά του προμηθευτή ΤΝ
  • Συστήματα ελάχιστου κινδύνου για τα οποία δεν τίθενται καν απαιτήσεις.

Όσον αφορά τα συστήματα ΤΝ υψηλού κινδύνου, στον ΑΙ Act προσδιορίζονται δύο κύριες κατηγορίες:

  • συστήματα ΤΝ που προορίζονται να χρησιμοποιηθούν ως κατασκευαστικά στοιχεία ασφάλειας προϊόντων τα οποία υπόκεινται σε εκ των προτέρων αξιολόγηση της συμμόρφωσης από τρίτα μέρη, όπως παιχνίδια ή ιατρικές συσκευές,
  • άλλα αυτόνομα συστήματα ΤΝ με επιπτώσεις κυρίως στα θεμελιώδη δικαιώματα, όπως συστήματα τεχνητής νοημοσύνης που αξιολογούν την πιστοληπτική ικανότητα ατόμων ή χρησιμοποιούνται στο πλαίσιο της πρόσληψης.

Επιπλέον, το AI Act εισάγει ένα σύστημα διαχείρισης κινδύνου, το οποίο συνίσταται σε μια συνεχή, επαναληπτική διαδικασία καθ’ όλη τη διάρκεια του κύκλου ζωής ενός συστήματος ΤΝ υψηλού κινδύνου, η οποία απαιτεί τακτική συστηματική επικαιροποίηση. Για την επίτευξη της παραπάνω διαδικασίας απαιτούνται συγκεκριμένες ενέργειες, όπως:

  • ο προσδιορισμός και η ανάλυση των γνωστών και προβλέψιμων κινδύνων που συνδέονται με κάθε σύστημα ΤΝ υψηλού κινδύνου
  • η εκτίμηση και η αξιολόγηση των κινδύνων που ενδέχεται να προκύψουν όταν το σύστημα ΤΝ υψηλού κινδύνου χρησιμοποιείται σύμφωνα με τον επιδιωκόμενο σκοπό του και υπό συνθήκες ευλόγως προβλέψιμης κακής χρήσης
  • η αξιολόγηση άλλων πιθανών κινδύνων με βάση την ανάλυση των δεδομένων που συλλέγονται από το σύστημα παρακολούθησης μετά τη διάθεση στην αγορά
  • η θέσπιση κατάλληλων μέτρων διαχείρισης κινδύνου.

Επιπρόσθετα, η Επιτροπή με την πρότασή της επιδιώκει την «απόλυτη» απαγόρευση των συστημάτων ΤΝ που χειραγωγούν άτομα μέσω υποσυνείδητων τεχνικών ή εκμεταλλεύονται τα τρωτά σημεία συγκεκριμένων ευάλωτων ομάδων, όπως τα παιδιά ή τα άτομα με αναπηρίες, προκειμένου να στρεβλώσουν ουσιωδώς τη συμπεριφορά τους κατά τρόπο που ενδέχεται να προκαλέσει στα άτομα αυτά ή σε άλλο πρόσωπο ψυχολογική ή σωματική βλάβη. Το AI Act απαγορεύει επίσης την κοινωνική βαθμολόγηση με βάση την ΤΝ για γενικούς σκοπούς από τις δημόσιες αρχές. Τέλος, απαγορεύεται η χρήση συστημάτων εξ αποστάσεως βιομετρικής ταυτοποίησης σε «πραγματικό χρόνο» σε δημόσια προσβάσιμους χώρους για σκοπούς επιβολής του νόμου, εκτός ορισμένων εξαιρέσεων.

Από το πεδίο εφαρμογής της πρότασης εξαιρούνται τα συστήματα ΤΝ που έχουν αναπτυχθεί ή χρησιμοποιούνται αποκλειστικά για στρατιωτικούς σκοπούς. Εξαιρούνται επίσης από το AI Act οι δημόσιες αρχές τρίτων χωρών και οι διεθνείς οργανισμοί που χρησιμοποιούν συστήματα τεχνητής νοημοσύνης στο πλαίσιο διεθνών συμφωνιών επιβολής του νόμου και δικαστικής συνεργασίας με την Ε.Ε. ή με ένα ή περισσότερα από τα μέλη της.

Γιατί είναι σημαντικό;

Μετά την προφανή επιτυχία του GDPR και του ισχυρού αντικτύπου που είχε στην Ευρώπη αλλά και παγκοσμίως αναφορικά με την προστασία των προσωπικών δεδομένων και τη συμμόρφωση των οργανισμών με τις απαιτήσεις του κανονιστικού πλαισίου, η Ε.Ε. επιδιώκει να αφήσει το στίγμα της και στον τομέα της τεχνητής νοημοσύνης ρυθμίζοντάς τη με το AI Act, πλαίσιο εξαιρετικά φιλόδοξο. Το AI Act θα απαιτεί από τους οργανισμούς να ελέγχουν με μεγαλύτερη επιμέλεια τα συστήματα ΤΝ που αξιοποιούν ή αναπτύσσουν, τα οποία μπορούν να χαρακτηριστούν «υψηλού κινδύνου» και είναι πιθανότερο να βλάψουν τους ανθρώπους. Εκεί θα μπορούσαν να υπάγονται -όπως αναφέρθηκε παραπάνω- συστήματα βαθμολόγησης εξετάσεων, αξιολόγησης επίδοσης εργαζομένων, καθώς και συστήματα που βοηθούν τους δικαστές να λάβουν αποφάσεις.

Αξίζει επίσης να επισημανθεί ότι το AI Act δεν θα ισχύει μόνο για οργανισμούς ή πολίτες που εδρεύουν στην Ε.Ε., αλλά η επιρροή του μπορεί να γίνει αισθητή σε όλο τον κόσμο με παρόμοιο τρόπο με αυτόν του GDPR. Το AI Act αφορά τους χρήστες και τους παρόχους συστημάτων ΤΝ (providers) που βρίσκονται εντός Ε.Ε., «εισαγωγείς» που διαθέτουν στην αγορά ή θέτουν σε λειτουργία σύστημα ΤΝ το οποίο φέρει την επωνυμία ή το εμπορικό σήμα φυσικού ή νομικού προσώπου εγκατεστημένου εκτός της Ένωσης, καθώς και σε παρόχους και χρήστες συστημάτων TN εγκατεστημένους εκτός ΕΕ, όταν τα αποτελέσματα που παράγονται από το σύστημα χρησιμοποιούνται στην Ε.Ε. Εδώ γίνεται φανερή η ομοιότητα με το ουσιαστικό πεδίο εφαρμογής του GDPR. Αυτό σημαίνει ότι οι οργανισμοί που αναπτύσσουν συστήματα ΤΝ θα πρέπει είτε να συμμορφωθούν με το AI Act ή να αποσύρουν πλήρως τα συστήματα και τις υπηρεσίες τους από την Ε.Ε.

Η προσέγγιση που έχει υιοθετήσει η Ε.Ε. με την πρότασή της για την τεχνητή νοημοσύνη, η οποία μάλιστα στοχεύει στη ρύθμιση ακόμη και των πιο επικίνδυνων μορφών ΤΝ, είναι αυτή στην οποία συμφωνούν οι περισσότερες ανεπτυγμένες χώρες. Εάν η Ευρωπαϊκή Επιτροπή καταφέρει να δημιουργήσει έναν συνεκτικό τρόπο ρύθμισης της ραγδαία εξελισσόμενης τεχνολογίας, αυτός θα μπορούσε να λειτουργήσει ως πρότυπο και για άλλες χώρες που ελπίζουν να προχωρήσουν σε ρύθμιση.

«Οι αμερικανικές εταιρείες, εάν συμμορφωθούν με τις απαιτήσεις του AI Act, θα καταλήξουν επίσης να αυξήσουν τα πρότυπά τους για τους Αμερικανούς καταναλωτές όσον αφορά τη διαφάνεια και τη λογοδοσία», λέει ο Marc Rotenberg, επικεφαλής του Centre for AI and Digital Policy, ενός μη κερδοσκοπικού οργανισμού που παρακολουθεί την εξέλιξη της πολιτικής που ακολουθείται σχετικά με την τεχνητή νοημοσύνη.

Οι προκλήσεις

Πέρα από τις καινοτόμες διατάξεις και την προσέγγιση που βασίζεται στον κίνδυνο, το AI Act παρουσιάζει ορισμένα σημεία που αμφισβητούνται έντονα. Πιο αναλυτικά, ορισμένες από τις απαιτήσεις της πρότασης είναι τεχνικά αδύνατο να συμμορφωθούν με την παρούσα κατάσταση. Κατ’ αρχάς, το πρώτο προσχέδιο του AI Act απαιτεί τα σύνολα δεδομένων να είναι απαλλαγμένα από σφάλματα -κάτι που είναι τεχνικά και στατιστικά αδύνατο-, καθώς και ότι οι άνθρωποι απαιτείται να μπορούν να «κατανοήσουν πλήρως» πώς λειτουργούν τα συστήματα τεχνητής νοημοσύνης. Ο τεχνολογικός αναλφαβητισμός που χαρακτηρίζει μεγάλο μέρος του πληθυσμού αποτελεί παράμετρο που χρειάζεται αναντίρρητα να ληφθεί υπόψιν στο τελικό κείμενο του Κανονισμού.

Φόβος και δισταγμός παρατηρείται, ωστόσο, στους κόλπους των εταιρειών πληροφορικής, καθώς φαίνεται να μην είναι έτοιμες, αλλά ούτε και να επιθυμούν να παρέχουν πρόσβαση σε ρυθμιστικές αρχές ή σε εξωτερικούς ελεγκτές στον πηγαίο τους κώδικα ή σε αλγορίθμους που έχουν αναπτύξει, προκειμένου να συμμορφωθούν με το νομικό πλαίσιο. Άλλωστε, το άρθρο 64 της πρότασης προβλέπει ότι οι αρχές εποπτείας της αγοράς μπορούν να αποκτήσουν «πλήρη πρόσβαση στα σύνολα δεδομένων εκπαίδευσης, επικύρωσης και δοκιμής που χρησιμοποιούνται από τον πάροχο, μεταξύ άλλων μέσω διεπαφών προγραμματισμού εφαρμογών (στο εξής: API) ή άλλων κατάλληλων τεχνικών μέσων και εργαλείων που επιτρέπουν την εξ αποστάσεως πρόσβαση». Και ειδικότερα, στην παράγραφο 2 του ίδιου άρθρου προβλέπεται ότι όταν χρειάζεται να πραγματοποιηθεί αξιολόγηση της συμμόρφωσης συστημάτων ΤΝ υψηλού κινδύνου, μετά από αιτιολογημένο αίτημά τους, στις αρχές εποπτείας της αγοράς «παρέχεται πρόσβαση στον πηγαίο κώδικα του συστήματος ΤΝ». Φυσικά, οι υποστηρικτές του ανοικτού λογισμικού έχουν διαφορετική άποψη, θεωρώντας ότι οποιοδήποτε λογισμικό θα πρέπει να είναι διαθέσιμο χωρίς κόστος κτήσης και χρήσης, με σκοπό την απρόσκοπτη εξέλιξη και βελτίωση των συστημάτων, πολύ περισσότερο όταν πρόκειται για συστήματα ΤΝ που μπορεί να λάβουν αποφάσεις για τη ζωή των ανθρώπων.

Μία άτυπη διαφωνία μεταξύ δύο αντικρουόμενων απόψεων έχει επίσης αναπτυχθεί τον τελευταίο καιρό αναφορικά με τα είδη συστημάτων ΤΝ που ταξινομούνται ως «υψηλού κινδύνου». Το ΑΙ Act παρέχει μια λίστα που κυμαίνεται από τεστ ανίχνευσης ψεύδους έως συστήματα που χρησιμοποιούνται για την κατανομή των επιδομάτων πρόνοιας. Έτσι, η μία πλευρά φοβάται ότι το ευρύτατο αυτό πεδίο εφαρμογής του AI Act θα επιβραδύνει την καινοτομία και την εξέλιξη της τεχνολογίας, ενώ το άλλο υποστηρίζει ότι η πρόταση στην παρούσα μορφή της δεν μπορεί να προστατεύσει αρκετά τους ανθρώπους από πιθανές, βλαπτικές συνέπειες.

Φυσικά, διαφαίνεται και το ζήτημα της λήψης αποφάσεων με βάση αποκλειστικά αυτοματοποιημένα μέσα, συμπεριλαμβανομένης της κατάρτισης προφίλ, όπως τα συστήματα ΤΝ, χωρίς να υπάρχει καμία ανθρώπινη παρέμβαση. Εδώ θα πρέπει σε κάθε περίπτωση το ΑΙ Act να συμπλεύσει προσεκτικά με τον GDPR, προκειμένου να διασφαλιστεί όσο το δυνατόν περισσότερο η προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, ώστε αυτά να έχουν πραγματικά ελεύθερα την επιλογή να μην υπόκεινται σε κατάρτιση προφίλ ή σε άλλες πρακτικές που ενδέχεται να επηρεάσουν τη συμπεριφορά τους. Οι αρχές της νομιμότητας της επεξεργασίας και της λογοδοσίας των οργανισμών θα πρέπει να αποτυπωθούν ρητά.

Σε κάθε περίπτωση, υπάρχει ανάγκη αποσαφήνισης και ευθυγράμμισης της ορολογίας του AI Act με τις νομικές κατηγορίες και έννοιες της υφιστάμενης νομοθεσίας της Ε.Ε. σχετικά με την τεχνητή νοημοσύνη.

Τα επόμενα βήματα

Τους τελευταίους μήνες το AI Act βρίσκεται ψηλά στην ατζέντα των ευρωπαϊκών οργάνων. Η Γαλλία, που ασκούσε την εκ περιτροπής Προεδρία του Συμβουλίου της Ε.Ε. το πρώτο εξάμηνο του 2022, παρά τις προσπάθειές της για έναν συμβιβασμό σε ένα τελικό κείμενο μέχρι το τέλος της θητείας της, δεν κατάφερε τελικά να καταλήξει σε μία κοινή προσέγγιση ή συμφωνία για το AI Act. Ωστόσο, οι Γάλλοι συνέταξαν έκθεση προόδου σχετικά με τις διαπραγματεύσεις, συνοψίζοντας τα κύρια σημεία διαμάχης μεταξύ των κρατών μελών, επικεντρωμένοι στους κανόνες τεχνητής νοημοσύνης για την επιβολή του νόμου και στην έκταση του ρυθμιστικού πλαισίου για συστήματα τεχνητής νοημοσύνης γενικού σκοπού.

Επί του παρόντος, η Τσέχικη Προεδρία του Συμβουλίου της Ε.Ε. ξεκίνησε δυναμικά τις διαπραγματεύσεις για το AI Act, προτείνοντας αλλαγές στην αρχική πρόταση (με ένα “Second Presidency compromise text”). Με το κείμενό της αυτό θέτει έναν στενότερο ορισμό για την τεχνητή νοημοσύνη, προτείνει μια αναθεωρημένη και πιο σύντομη λίστα συστημάτων ΤΝ υψηλού κινδύνου, παρέχει ισχυρότερο ρόλο στο Ευρωπαϊκό Συμβούλιο Τεχνητής Νοημοσύνης, ενώ αναδιατυπώνει τους κανόνες για τις εξαιρέσεις που αφορούν την εθνική ασφάλεια. Εν προκειμένω, τα κράτη μέλη μπορούν να προβούν σε παρατηρήσεις του κειμένου έως το τέλος του Σεπτεμβρίου.

Επομένως, δεν μπορεί να προβλεφθεί με σαφήνεια το πότε τα κράτη μέλη θα συμφωνήσουν σε ένα ενιαίο κείμενο Κανονισμού. Το σίγουρο, ωστόσο, είναι ότι όσο η τεχνολογία της τεχνητής νοημοσύνης εξελίσσεται, τόσο περισσότερο θα πρέπει η νομοθεσία να εκσυγχρονίζεται, να προσαρμόζεται και να αφουγκράζεται τις ανάγκες της εποχής, με σκοπό να επιτευχθεί η αποτελεσματική προστασία των προσώπων, με σεβασμό στα δικαιώματα και τις θεμελιώδεις ελευθερίες τους.

Eleni Kalpia
Lawyer, Data Privacy Specialist
on behalf of
Privacy Advocate
Top