Η ΠΡΟΣΤΑΣΙΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΣΤΟΝ ΝΕΟ ΚΟΣΜΟ ΤΟΥ METAVERSE

Από τη δεκαετία του 1990 όταν και διαδόθηκε ευρέως το Internet, ο κυβερνοχώρος συνεχίζει να εξελίσσεται με εκπληκτικούς ρυθμούς. Έχουν δημιουργηθεί πλείστα εικονικά περιβάλλοντα που απαιτούν τη διαμεσολάβηση υπολογιστή για να λειτουργήσουν, όπως για παράδειγμα τα μέσα κοινωνικής δικτύωσης, τα λεγόμενα NFTs, αλλά και οι τεχνολογίες εκτεταμένης πραγματικότητας (extended reality), οι οποίες περιλαμβάνουν την εικονική πραγματικότητα (VR) και την επαυξημένη πραγματικότητα (AR). Όλα αυτά τα ψηφιακά περιβάλλοντα, αν και ασύνδετα συνήθως μεταξύ τους, έχουν οδηγήσει σε ραγδαίο ψηφιακό μετασχηματισμό, μέρος του οποίου αποτελεί πλέον και το “Metaverse”, ένας όρος που επινοήθηκε για να διευκολύνει περαιτέρω την ψηφιακή αλλαγή σε κάθε πτυχή της καθημερινότητας των ανθρώπων.

Αλλά, τι είναι το Metaverse;

Το Metaverse είναι ένα δίκτυο τρισδιάστατων, εικονικών κόσμων που στοχεύουν στην κοινωνική σύνδεση των ανθρώπων. Αποτελεί το επόμενο στάδιο ανάπτυξης του διαδικτύου, αφού λογίζεται ως μία τρισδιάστατη έκδοσή του, η αξιοποίηση του οποίου διευκολύνεται από τη χρήση γυαλιών και ακουστικών (headsets) εικονικής και επαυξημένης πραγματικότητας ή κατάλληλα τοποθετημένων αισθητήρων στον χώρο.

Μολονότι ο όρος έχει γίνει ευρέως γνωστός τα τελευταία χρόνια, η λέξη “metaverse” επινοήθηκε στην πραγματικότητα από τον συγγραφέα Neal Stephenson στο μυθιστόρημα επιστημονικής φαντασίας “Snow Crash” του 1992. Στο βιβλίο του, ο Stephenson αναφέρεται στο metaverse ως ένα ολοκληρωμένο ψηφιακό κόσμο που υπάρχει παράλληλα με τον πραγματικό κόσμο. Στο Metaverse του σήμερα, η φυσική πραγματικότητα συγχωνεύεται με τον ψηφιακό κόσμο, όπου τεχνολογίες που επιτρέπουν πολυαισθητηριακές αλληλεπιδράσεις συγκλίνουν με τα εικονικά περιβάλλοντα και τα αντικείμενα, δημιουργώντας εξατομικευμένους ψηφιακούς χαρακτήρες, τα «άβαταρ». Μέσω αυτών των άβαταρ οι χρήστες έχουν τη δυνατότητα να γνωρίζουν φίλους, να συνεργάζονται με συναδέλφους, να παίξουν παιχνίδια, ακόμη και να πάνε για ψώνια.

Αν και το metaverse βρίσκεται ακόμη στα πρώτα στάδια ανάπτυξής τους, πολλοί είναι αυτοί που ισχυρίζονται ότι το Metaverse θα είναι το μέλλον του διαδικτύου και επομένως της καθημερινότητας των ανθρώπων. Με τις Big Tech Εταιρείες να έχουν ήδη επενδύσει σε μεγάλο βαθμό σε αυτές τις τεχνολογίες, ο ρυθμός ανάπτυξής τους αυξάνεται συνεχώς. Το headset εικονικής πραγματικότητας “Oculus Quest” της Meta (πρώην Facebook) αποτέλεσε ήδη ένα από τα πιο δημοφιλή χριστουγεννιάτικα δώρα στις ΗΠΑ το 2021. Δημοφιλείς εταιρείες, όπως η Nike, έχουν ήδη αγοράσει ακίνητα σε πλατφόρμες εικονικής πραγματικότητας, ενώ καλλιτέχνες, όπως η Ariana Grande, πραγματοποιούν συναυλίες μέσα στο metaverse ως άβαταρ, που αλληλοεπιδρούν με άλλα σε πραγματικό χρόνο.

Εκτός όμως από τα παραπάνω, το Metaverse περιλαμβάνει επίσης μια έκρηξη πληροφοριών. Ο όγκος των προσωπικών δεδομένων που συλλέγονται από τους χρήστες είναι τεράστιος, κι έτσι, αναπόφευκτα εμφανίζονται σημαντικά ζητήματα προστασίας της ιδιωτικότητας και των δικαιωμάτων των χρηστών.

Προστασία προσωπικών δεδομένων σε περιβάλλον εικονικής πραγματικότητας

Τα συστήματα εικονικής πραγματικότητας λειτουργούν καταγράφοντας εκτεταμένα βιομετρικά δεδομένα για το σώμα ενός χρήστη, συμπεριλαμβανομένων βιολογικών δεδομένων όπως η ταχύτητα της κίνησης των ματιών, η θερμοκρασία του σώματός του, αλλά και οι αυθόρμητες αντιδράσεις του σε ερεθίσματα. Μάλιστα, σύμφωνα με μία έρευνα,  περνώντας μόλις 20 λεπτά σε έναν προσομοιωτή εικονικής πραγματικότητας, καταγράφονται σχεδόν δύο εκατομμύρια μοναδικές εγγραφές της γλώσσας του σώματος. Επιπλέον, μία άλλη έρευνα συμπεραίνει πως μόλις πέντε λεπτά σε έναν τέτοιο προσομοιωτή, έχοντας αποκρύψει πλήρως όλα τα προσωπικά αναγνωριστικά του χρήστη, αρκούν για να ταυτοποιηθεί με ακρίβεια 95%, με την αξιοποίηση αλγορίθμων μηχανικής μάθησης.

Η συλλογή τέτοιου όγκου δεδομένων ίσως μπορεί να οδηγήσει σε βιομετρική καταγραφή των ανθρώπων με επακόλουθη συνέπεια την αποκάλυψη πληροφοριών για τις προτιμήσεις τους και τα ενδιαφέροντά τους. Κι αυτό διότι στις εμπειρίες της εικονικής πραγματικότητας δεν αποτυπώνονται μόνο οι εξωτερικές συμπεριφορές του χρήστη, αλλά και οι συναισθηματικές του διακυμάνσεις ή αντιδράσεις σε συγκεκριμένες καταστάσεις, με την καταγραφή για παράδειγμα της διαστολής της κόρης των ματιών ή της αλλαγής στις εκφράσεις του προσώπου του. Εάν για παράδειγμα ένας χρήστης αντικρίσει σε ένα περιβάλλον εικονικής πραγματικότητας ένα λαμπερό κόκκινο αυτοκίνητο, η συναισθηματική απόκρισή του μπορεί εύκολα να αναλυθεί, να καταγραφεί και να παρακολουθηθεί, ακόμα και σε πραγματικό χρόνο. Η διαστολή της κόρης του θα μπορούσε να αποτυπώσει τον ενθουσιασμό που νιώθει ο χρήστης βλέποντας το αυτοκίνητο και οι γαλβανικές αποκρίσεις του δέρματος θα μπορούσαν να αποτυπώσουν την ένταση των συναισθημάτων του. Στο βαθμό μάλιστα που αυτά τα προσωπικά δεδομένα χρησιμοποιούνται από τους παράγοντες του Metaverse για να αξιολογήσουν τον χρήστη ή για να λάβουν αποφάσεις σχετικά με αυτόν, τότε θεωρούνται προσωπικά δεδομένα ειδικών κατηγοριών σύμφωνα με τον GDPR και οι εγγυήσεις για την προστασία τους θα πρέπει να είναι αυξημένες.

Η πρόσβαση σε τέτοια δεδομένα μπορεί να οδηγήσει σε εξαιρετικά αδιαφανείς και παρεμβατικούς τρόπους κατάρτισης προφίλ των φυσικών προσώπων, σε εκτεταμένη κατηγοριοποίησή τους, ακόμη και σε στόχευση προσώπων με βάση τα καταγεγραμμένα χαρακτηριστικά τους. Υπάρχουν ήδη αρκετές περιπτώσεις λήψης αποφάσεων βάσει τέτοιων πρακτικών και αλγοριθμικών συστημάτων.

Επιπρόσθετα, στο Metaverse, ο καθορισμός της οντότητας ή των οντοτήτων που θα έχουν την ευθύνη για τον προσδιορισμό των προσωπικών δεδομένων που θα υποβληθούν σε επεξεργασία και τον σκοπό επεξεργασίας (Υπεύθυνος Επεξεργασίας των δεδομένων), σίγουρα είναι μία δύσκολη απόφαση, αφού πιθανώς να περιλαμβάνει τον καθορισμό συγκεκριμένων ρόλων μέσω σε έναν περίπλοκο ιστό σχέσεων χωρίς προφανείς αρμοδιότητες.

Η δημιουργία των άβαταρ

Κάθε φορά που ένας χρήστης εισέρχεται στο metaverse, δημιουργεί το άβαταρ του. Για να «ζήσει» όμως και να «συνυπάρξει» αυτό με τα υπόλοιπα στοιχεία του metaverse, αλλά και για να εκτελέσει τις επιθυμητές δραστηριότητες, απαιτείται η κοινή χρήση και η έκθεση όλο και περισσότερων δεδομένων του χρήστη με τις εταιρείες τεχνολογίας που έχουν δημιουργήσει το εκάστοτε εικονικό περιβάλλον. Οι εταιρείες αυτές είναι σε θέση να αξιοποιήσουν εύκολα αυτά τα δεδομένα για να εξορθολογήσουν και να προσαρμόσουν κατάλληλα τα προϊόντα και τις υπηρεσίες τους, σύμφωνα με τις ατομικές προσδοκίες των χρηστών. Μία τέτοια ωστόσο πρακτική θα μπορούσε να οδηγήσει σε μεγαλύτερη εποπτεία των δραστηριοτήτων του χρήστη, με χαρακτηριστικό και αναμενόμενο απότοκο ακόμη και την πώληση των δεδομένων αυτών σε διαφημιστές.

Φυσικά, καθώς οι χρήστες θα παράγουν ασταμάτητα περισσότερα δεδομένα μέσα στο Metaverse, ο κίνδυνος κλοπής τους είναι αυξημένος. Καθώς οι χρήστες αυξάνουν το ψηφιακό τους αποτύπωμα στον νέο ψηφιακό κόσμο και βιώνουν μια συνεχώς πιο καθηλωτική εμπειρία, δημιουργούν μεγάλο όγκο προσωπικών δεδομένων, γεγονός που εγείρει ερωτήματα σχετικά με το ποιος είναι υπεύθυνος για την αποθήκευσή τους, την εν γένει επεξεργασία τους, αλλά και τη διασφάλισή τους από τυχόν κακόβουλες, μη εξουσιοδοτημένες προσπάθειες πρόσβασης και εν τέλει παραβίασης της ιδιωτικότητάς τους. Μία παραβίαση του κυβερνοχώρου θα μπορούσε να επιφέρει άμεσο οικονομικό πλήγμα στην εταιρεία/δημιουργό του ψηφιακού περιβάλλοντος, με ακόμη μεγαλύτερες συνέπειες για τους χρήστες του.

Τελικά σχόλια

Οι παραπάνω είναι μόνο κάποιοι από τους κινδύνους που φαίνεται να εγκυμονεί η εξάπλωση του Metaverse για τα δικαιώματα και τις ελευθερίες των χρηστών του ως φυσικών προσώπων. Άλλα ζητήματα που προκύπτουν αφορούν ένα ευρύ φάσμα του εμπορικού και οικονομικού νομικού πλαισίου, όπως η νομιμοποίηση των εσόδων από παράνομες δραστηριότητες εντός του Metaverse, η ρύθμιση των χρηματοπιστωτικών υπηρεσιών, τα ζητήματα των NFTs, αλλά και πλήθος θεμάτων πνευματικής ιδιοκτησίας. Όσον αφορά τον τομέα της πνευματικής ιδιοκτησίας (copyright) ένα περίπλοκο ερώτημα θα ήταν εάν ένας χρήστης που δημιούργησε κάτι στο Metaverse, όπως το άβαταρ του, το σπίτι του ή το περιβάλλον δραστηριοποίησής του, θα κατέχει ο ίδιος τα δικαιώματα για τα δημιουργήματά του ή αυτά θα ανήκουν αποκλειστικά στην Εταιρεία στην οποία ανήκει το εικονικό περιβάλλον.

Εναπόκειται επομένως στις εταιρείες τεχνολογίας να προσαρμόσουν τις πολιτικές τους κατάλληλα, ώστε να μπορούν να ανταποκριθούν στις απαιτήσεις της επανάστασης που φέρνει σταδιακά ο κόσμος της εικονικής πραγματικότητας, ελαχιστοποιώντας τα ρίσκα για την παραβίαση της ιδιωτικότητας. Η Εταιρεία Meta έχει ήδη ανακοινώσει ότι πρόκειται να συνεργαστεί στενά με τους οργανισμούς για την προστασία των πολιτικών δικαιωμάτων προκειμένου να διασφαλίσει ότι το Metaverse αξιοποιεί μόνο τεχνολογίες που «έχουν κατασκευαστεί με τρόπο που να είναι περιεκτικός και ενδυναμωτικός για τα δικαιώματα και τις ελευθερίες των ατόμων.»

Μεγάλο μέρος του νομοθετικού πλαισίου για την προστασία της ιδιωτικότητας στο Metaverse αναμένεται να βρει εφαρμογή, όπως ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR), ενώ σε άλλες περιπτώσεις οι υφιστάμενοι νόμοι μπορεί να αποδειχθούν ανεπαρκείς για την αντιμετώπιση των συμπεριφορών στα εικονικά περιβάλλοντα, γεγονός που θα προκαλέσει την ψήφιση νέων νόμων και κανονισμών. Κάποιοι από αυτούς μπορεί να περιλαμβάνουν την ψήφιση του Digital Services Act, του Digital Markets Act, και του προτεινόμενου AI Regulation.

Καθώς το Metaverse γίνεται σταδιακά πραγματικότητα, αναμένεται να ανακύψουν και άλλα νομικά ζητήματα σχετικά με την προστασία των προσωπικών δεδομένων, που σίγουρα στην παρούσα φάση είναι αδύνατο να προβλεφθούν. Το καίριο ζήτημα που θα παραμείνει αφορά την αέναη παραγωγή πλήθους προσωπικών πληροφοριών για τους χρήστες του Metaverse, σε συνδυασμό με τη συνεχόμενη απαίτηση για νέο εξοπλισμό, τεχνικό υλικό και νέας γενιάς λογισμικό, τα οποία χρειάζεται εξ ορισμού και από τον σχεδιασμό τους να συνάδουν με τις θεμελιώδεις αρχές για την προστασία των προσωπικών δεδομένων.

 

Ελένη Καλπία

Δικηγόρος, Data Privacy Consultant

ΣΥΜΦΩΝΙΑ ΣΧΕΤΙΚΑ ΜΕ ΤΙΣ ΔΙΑΤΛΑΝΤΙΚΕΣ ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΜΕΤΑΞΥ Ε.Ε. ΚΑΙ Η.Π.A.

Η Ευρωπαϊκή Επιτροπή και οι Ηνωμένες Πολιτείες ανακοίνωσαν ότι κατ’ αρχήν συμφώνησαν σε ένα νέο, ενισχυμένο πλαίσιο για τις διατλαντικές ροές δεδομένων (“Trans-Atlantic Data Privacy Framework”), σηματοδοτώντας πιθανώς το τέλος της πολύμηνης νομικής αβεβαιότητας που εξακολουθεί να υφίσταται μετά από τη δικαστική απόφαση ορόσημο Schrems II του Δικαστηρίου της Ευρωπαϊκής Ένωσης, τον Ιούλιο του 2020, με την οποία είχε καταργηθεί η Privacy Shield.

Σχολιάζοντας τη συμφωνία την Παρασκευή 25 Μαρτίου, η Πρόεδρος της Ευρωπαϊκής Επιτροπής Ursula von der Leyen δήλωσε: «Είμαι πολύ ικανοποιημένη που καταλήξαμε σε μια κατ’ αρχήν συμφωνία για ένα νέο πλαίσιο για τις διατλαντικές ροές δεδομένων. Αυτό θα επιτρέψει προβλέψιμες, αξιόπιστες ροές δεδομένων μεταξύ ΕΕ και ΗΠΑ, προστατεύοντας την ιδιωτικότητα και τις πολιτικές ελευθερίες».

Σύμφωνα με το “Trans-Atlantic Data Privacy Framework”, τα δεδομένα θα μπορούν να ρέουν ελεύθερα και με ασφάλεια μεταξύ της ΕΕ και των εταιρειών στις ΗΠΑ. Οι ΗΠΑ επιπλέον θα θεσπίσουν εγγυήσεις και δεσμευτικές διασφαλίσεις με στόχο τον περιορισμό της πρόσβασης των αρχών πληροφοριών των ΗΠΑ μόνο σε όσα δεδομένα είναι απαραίτητα και αναλογικά για την προστασία της εθνικής ασφάλειας. Προβλέπεται επίσης ένα νέο σύστημα προσφυγής δύο επιπέδων για τη διερεύνηση και την επίλυση καταγγελιών Ευρωπαίων πολιτών σχετικά με την πρόσβαση σε δεδομένα από τις αρχές πληροφοριών των ΗΠΑ.

To νέο αυτό πλαίσιο στοχεύει στη διασφάλιση ενός ασφαλούς και επαρκούς επιπέδου προστασίας των δεδομένων των Ευρωπαίων που διαβιβάζονται στις ΗΠΑ, την εξασφάλιση της αποτελεσματικής εποπτείας των δραστηριοτήτων επιτήρησης από τις αρχές πληροφοριών, καθώς και στην ύπαρξη ανθεκτικών και αξιόπιστων νομικών βάσεων για την επεξεργασία των δεδομένων. Η προώθηση των ελεύθερων ροών δεδομένων επιπλέον επιδιώκει τη διευκόλυνση του διατλαντικού εμπορίου, με τη δημιουργία μίας ανταγωνιστικής ψηφιακής οικονομίας και οικονομικής συνεργασίας εταιρειών, ανεξαρτήτως μεγέθους και από όλες τις χώρες.

Αξίζει εδώ να σημειωθεί πως ο Max Schrems, ο δικηγόρος και ο ακτιβιστής του οποίου το όνομα έχει γίνει συνώνυμο με την κατάρριψη των συμφωνιών διαβίβασης δεδομένων σε υπερατλαντικό επίπεδο (Αποφάσεις Schrems I και Schrems II του ΔΕΕ) διατύπωσε ιδιαίτερες επιφυλάξεις ως προς το νέο πλαίσιο. Απαντώντας στην ανάρτηση της Ursula von der Leyen στο Twitter, εμφανίστηκε σκεπτικός, σχολιάζοντας πως «Φαίνεται ότι έχουμε άλλη μια Privacy Shield, ειδικά από μία άποψη: Πολιτική έναντι του νόμου και των θεμελιωδών δικαιωμάτων», υπογραμμίζοντας ότι, παρόμοια σχέδια έχουν αποτύχει άλλες δύο φορές στο παρελθόν, καθώς αποτελούν απλώς συνονθύλευμα δεσμεύσεων, χωρίς ουσιώδεις μεταρρυθμίσεις από την πλευρά των ΗΠΑ.

Συμπερασματικά, το προτεινόμενο πλαίσιο σηματοδοτεί μια ισχυρή δέσμευση από την πλευρά των ΗΠΑ να εφαρμόσει μεταρρυθμίσεις που θα ενισχύσουν την προστασία της ιδιωτικότητας και των πολιτικών ελευθεριών των ευρωπαίων πολιτών αναφορικά με την παρακολούθησή τους από τις αρχές πληροφοριών των ΗΠΑ. Αυτές οι δεσμεύσεις θα συμπεριληφθούν σε εκτελεστικό διάταγμα για την αξιολόγησή του από την Ευρωπαϊκή Επιτροπή. Χρειάζεται ωστόσεο να γίνει κατανοητό ότι η πλήρης και τελική αξιολόγηση του “Trans-Atlantic Data Privacy Framework” δεν ανήκει στους Επιτρόπους της Ε.Ε. ή στους ομολόγους τους στις ΗΠΑ, αλλά μόνο στο Δικαστήριο της Ευρωπαϊκής Ένωσης, το οποίο εν τέλει θα αποφασίσει για την επάρκεια και το επίπεδο προστασίας που προσφέρει το προτεινόμενο πλαίσιο.

Πηγές:
https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087,
https://www.whitehouse.gov,
https://noyb.eu

ΕΞΥΠΝΟ ΚΟΥΔΟΥΝΙ: ΕΝ ΔΥΝΑΜΕΙ ΑΠΕΙΛΗ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ;

Η τοποθέτηση καμερών αδιαμφισβήτητα αποτελεί πρακτική που έχει απασχολήσει την διεθνή κοινότητα σε μεγάλο βαθμό τα τελευταία χρόνια, ιδιαίτερα όταν πρόκειται για εγκατάσταση καμερών σε σπίτια και ιδιωτικούς χώρους, αφού έχει οδηγήσει κατά καιρούς σε σειρά παραβιάσεων της ιδιωτικότητας των φυσικών προσώπων, επιφέροντας κατά συνέπεια ιδιαίτερα επιβαρυντικά πρόστιμα για ιδιώτες και νομικά πρόσωπα. Με πρόσφατη απόφαση ενός Βρετανικού Δικαστηρίου, έρχονται να προστεθούν και τα ‘’έξυπνα’’ κουδούνια στις δυνητικές απειλές για την προστασία των προσωπικών δεδομένων.

Όλα ξεκίνησαν όταν ένας Βρετανός κάτοικος τοποθέτησε έξω από την οικία του ένα έξυπνο κουδούνι το οποίο περιείχε κάμερα που κατέγραφε ήχο και εικόνα από το σπίτι του γείτονά του. Κομβικό σημείο για την απόφαση αυτή όμως αποτέλεσε η αυτοματοποιημένη φύση της καταγραφής, αφού παρατηρήθηκε αυτόματη ενεργοποίηση καταγραφής ήχου όταν εντοπιζόταν κίνηση. Επιπρόσθετο επιβαρυντικό παράγοντα αποτέλεσε και το μεγάλο εύρος κάλυψης της κάμερας καθώς κατέγραφε σημαντικό μέρος του εξωτερικού χώρου του γειτονικού σπιτιού. Τέλος, στη δυσχέρανση της θέσης του Βρετανού κατοίκου συνετέλεσε το γεγονός ότι δεν υπήρχαν προειδοποιητικές πινακίδες που να ενημερώνουν για την καταγραφή ήχου και εικόνας.

Η απόφαση αυτή πιθανόν δεν θα επηρεάσει τη χρήση των συμβατικών κουδουνιών αλλά ίσως δημιουργήσει δεδικασμένο για κάμερες γύρω από ιδιωτικές κατοικίες που είναι συνεχώς σε λειτουργία ή ενεργοποιούνται με τον εντοπισμό κίνησης. Μάλιστα, ένα θεμελιώδες αποκύημα της απόφασης αυτής ήταν ότι ο Βρετανός κάτοικος που τοποθέτησε τα προαναφερθέντα ‘έξυπνα΄ κουδούνια ορίστηκε από το Δικαστήριο ως ‘data controller’ (Υπεύθυνος Επεξεργασίας) και συνεπώς κατέστη υπόλογος σε ενδεχόμενα πρόστιμα που προβλέπει ο ΓΚΠΔ. Η απόφαση αυτή ίσως οδηγήσει στην αναθεώρηση πολλών ιδιωτών που σκοπεύουν να εγκαταστήσουν ανάλογες συσκευές στην οικία τους, ωστόσο  θα χρειαστούν περαιτέρω παρόμοιες αποφάσεις για να οδηγηθούμε σε επανασχεδιασμό των ‘έξυπνων’ κουδουνιών.

Εν κατακλείδι, είναι φανερό πως η ραγδαία αύξηση της τεχνολογίας σε συνδυασμό με την τάση ευαισθητοποίησης προς την ιδιωτικότητά μας θέτει σε καθημερινή βάση πολύπλευρα και αμφίσημα νομικά αλλά και πρακτικά ερωτήματα. Η ευκολία με την οποία μπορούμε να προμηθευθούμε εξελιγμένες τεχνολογικές συσκευές θα πρέπει να συνοδεύεται  με την όξυνση του αισθήματος της ατομικής ευθύνης προκειμένου να αποφεύγονται παραβατικές συμπεριφορές που διακινδυνεύουν την ακεραιότητα της προσωπικής ζωής των ανθρώπων.

ΠΩΣ ΕΝΑ ΓΕΥΜΑ ΜΠΟΡΕΙ ΝΑ ΔΙΑΚΙΝΔΥΝΕΥΣΕΙ ΤΗΝ ΙΔΙΩΤΙΚΟΤΗΤΑ ΣΑΣ

Σε μία προσπάθεια για την παρεμπόδιση της εξάπλωσης του Covid-19, οι χώροι εστίασης αντικαθιστούν σταδιακά τα κλασικά τυπωμένα μενού με ψηφιακά, στα οποία παρέχεται εύκολη πρόσβαση  μέσω QR κωδικών (Quick Response codes). Δεδομένου ότι οι κωδικοί QR επιτρέπουν την γρήγορη απεικόνιση των μενού, διευκολύνοντας τη διαδικασία της παραγγελίας, γίνονται ολοένα και πιο δημοφιλείς. Μήπως όμως αυτή η «ανέπαφη» τεχνολογία προκαλεί περισσότερο κακό παρά καλό, ειδικότερα αναφορικά με την ιδιωτικότητα και την ασφάλεια των πελατών;

Ένας QR κωδικός μπορεί να συνδεθεί με οτιδήποτε αυξάνει την ικανότητα μίας επιχείρησης να εντοπίσει και να αναλύσει τη συμπεριφορά των πελατών της, συλλέγοντας προσωπικά δεδομένα όπως δεδομένα τοποθεσίας, τηλεφωνικούς αριθμούς και emails, ακόμα και πληροφορίες πιστωτικών καρτών. Τα δεδομένα αυτά θα μπορούσαν εύκολα να τροφοδοτήσουν βάσεις δεδομένων χωρίς την ενημέρωση ή τη συγκατάθεση των χρηστών για διαφημιστικούς και προωθητικούς σκοπούς, εγείροντας έντονα ζητήματα ιδιωτικότητας αλλά και κινδύνους ασφαλείας.

Οι QR κωδικοί είναι προγραμματιζόμενοι κι έτσι μπορούν να χρησιμοποιηθούν εύκολα για να παρακολουθήσουν τις επιλογές των πελατών, όπως για παράδειγμα πότε, πού και πόσο συχνά σκανάρονται οι κωδικοί. Επιπλέον, ενεργοποιούν τα λεγόμενα και ευρέως διαδεδομένα “cookies”, τα οποία έχουν τη δυνατότητα να εντοπίσουν και να αποθηκεύσουν σε βάσεις δεδομένων στοιχεία όπως το ιστορικό παραγγελιών του πελάτη, το όνομα και την τοποθεσία του.

Επιπρόσθετα, η χρήση των κωδικών αυτών δημιουργεί αμφιβολίες για την ασφάλεια των δεδομένων, αφού μπορεί να αποτελούν ανοικτή δίοδο για την εισροή ιών ή άλλου κακόβουλου λογισμικού απευθείας στο κινητό τηλέφωνο του πελάτη. Η φασαρία και οι περισπασμοί του χώρου είναι πιθανό να καταλήξουν σε μη ασφαλή κλικ, αφού ο πελάτης δεν είναι διατεθειμένος να ελέγξει την ασφάλεια της σελίδας στην οποία εισέρχεται. Είναι επίσης γνωστό ότι ορισμένοι χάκερς επικολλάνε το δικό τους αυτοκόλλητο κωδικού QR πάνω από τον πραγματικό κωδικό του εστιατορίου που ενδεχομένως υπάρχει σε ένα μενού. Με αυτόν τον τρόπο μπορούν να ανακατευθύνουν τον πελάτη σε ένα διαφορετικό, δικό τους ιστότοπο που φιλοξενεί κακόβουλο λογισμικό.

Η παρουσίαση ενός διαδικτυακού μενού στο τηλέφωνο του πελάτη δεν σημαίνει βέβαια ότι αυτός παραδίδει κατευθείαν σε κακόβουλους χάκερς τα προσωπικά του δεδομένα, ωστόσο δίνει τη δυνατότητα στο εστιατόριο να γνωρίζει τις προτιμήσεις του, τις οποίες μπορεί στη συνέχεια να αξιοποιήσει για να πουλήσει καλύτερα τα προϊόντα του. Άλλωστε, η πλειοψηφία των συστημάτων QR κωδικών δεν διαθέτει σαφείς δικλείδες ασφάλειας απορρήτου. Δεν υπάρχει διαφάνεια ως προς τη συλλογή των δεδομένων κινητού και τη νομική βάση επεξεργασίας των δεδομένων του πελάτη, καθώς ούτε και αναφορικά με τις τρίτες ιστοσελίδες με τις οποίες μπορεί να συνδέεται η σελίδα του εστιατορίου ή τους πιθανούς αποδέκτες των δεδομένων των πελατών. Αν υποτεθεί για παράδειγμα ότι επισκεφτήκατε πρόσφατα ένα γαλλικό εστιατόριο, μη σας φανεί περίεργο τον επόμενο καιρό να σας εμφανίζονται διαφημίσεις για άλλα γαλλικά εστιατόρια κοντά σας.

Για τον μετριασμό των κινδύνων που σχετίζονται με τα ίχνη που μένουν πίσω μετά από μία έξοδο σε ένα εστιατόριο, υπάρχουν κάποιες προφυλάξεις που θα μπορούσαν να λάβουν οι πελάτες. Το σημαντικότερο είναι να αντιμετωπίζουν τους QR κωδικούς με τον ίδιο τρόπο που διαχειρίζονται ένα συνημμένο αρχείο σε ένα email. Οι άγνωστοι υπερσύνδεσμοι και οι ιστοσελίδες θα πρέπει να αποφεύγονται, ενώ οι πελάτες δεν θα πρέπει να κατεβάζουν κανένα αρχείο στο κινητό τους τηλέφωνο. Επιπρόσθετα, θα πρέπει να κρατούν τα μάτια τους ανοιχτά για τυχόν αυτοκόλλητα πάνω από τους πραγματικούς QR κωδικούς.

Από την πλευρά των εστιατορίων, αυτά χρειάζεται να επενδύουν σε αξιόπιστα λογισμικά QR κωδικών, με τεκμηριωμένα και αυστηρά τεχνικά μέτρα ασφαλείας, που να διασφαλίζουν πως τα προσωπικά δεδομένα των πελατών τους θα παραμένουν ασφαλή και εμπιστευτικά.

Μπορεί εν τέλει οι ψηφιακές εκδόσεις των μενού στα εστιατόρια να εμποδίζουν την εξάπλωση των μικροβίων, χωρίς όμως την δέουσα προσοχή, ίσως κοστίσουν την ιδιωτικότητα των πελατών.

ΤΕΧΝΟΛΟΓΙΕΣ ΑΝΑΓΝΩΡΙΣΗΣ ΠΡΟΣΩΠΟΥ ΚΑΙ ΕΙΔΙΚΟΤΕΡΟΙ ΠΡΟΒΛΗΜΑΤΙΣΜΟΙ ΓΙΑ ΤΗΝ ΙΔΙΩΤΙΚΟΤΗΤΑ

Τον τελευταίο καιρό παρατηρείται έντονη αναταραχή σχετικά με την άνοδο και την εκτεταμένη χρήση τεχνολογιών αναγνώρισης προσώπου, αφού αξιοποιούνται όλο και περισσότερο από τις δημόσιες αρχές των χωρών, μεταξύ άλλων για την αναγνώριση και τη δίωξη πιθανών εγκληματιών. Η χρήση τέτοιων τεχνολογιών χωρίς τη συγκατάθεση των πολιτών θα μπορούσε να έχει πιθανά οφέλη για την ασφάλειά τους, ωστόσο, εκτός από τους ηθικούς προβληματισμούς που εμφανώς εγείρει, αναμφίβολα αποτελεί μία περίπτωση πιθανής παραβίασης της ιδιωτικότητας των πολιτών, η οποία απαιτεί προσεκτική προηγούμενη εκτίμηση των επιπτώσεων αλλά και διασφάλιση λήψης κατάλληλων μέτρων για τον περιορισμό των αρνητικών αυτών επιπτώσεων στην προσωπική τους ζωή.

Τέτοια εργαλεία δεν είναι πάντα απαραίτητα για την εύρεση υπόπτων, ωστόσο η χρήση γίνεται όλο και πιο συχνή. Η αναγνώριση προσώπου χρησιμοποιείται ευρέως πλέον σε τράπεζες, αεροδρόμια και ιδρύματα υγειονομικής περίθαλψης για να προσδιοριστεί με ακρίβεια εάν ένα άτομο είναι πράγματι αυτό που δηλώνει, πρακτική που απαιτεί σίγουρα μία ευαίσθητη εξισορρόπηση μεταξύ των δικαιωμάτων των οποίων η προστασία επιδιώκεται.

Μία από τις πιο σοκαριστικές, θα έλεγε κανείς, εφαρμογές της τεχνολογίας αυτής παρακολούθησης, αποτελεί το σύστημα παρακολούθησης της Κίνας, η οποία διαθέτει το μεγαλύτερο δίκτυο καμερών στον κόσμο, χρησιμοποιώντας πάνω από τις μισές κάμερες που υπάρχουν σε ολόκληρο τον κόσμο.Το σύστημα αυτό θα μπορούσε να παρομοιαστεί με το γνωστό «Πανοπτικόν», ένα κτήριο φυλακής που σχεδιάστηκε μόλις το 1785 από τον φιλόσοφο και κοινωνιολόγο Jeremy Bentham και ο σχεδιασμός του επιτρέπει την πλήρη και συνεχή επίβλεψη όλων των κρατούμενων. Στην πραγματικότητα της Κίνας, το σύστημα παρακολούθησης σαρώνει μέσω των καμερών τα χαρακτηριστικά του προσώπου των ανθρώπων στους δρόμους από διάφορα καρέ βίντεο σε πραγματικό χρόνο, δημιουργώντας έναν εικονικό χάρτη του προσώπου. Οι κάμερες αναγνώρισης προσώπου αξιοποιούνται σε πλήθος δραστηριοτήτων, όπως με σκοπό την παρακολούθηση των τουριστών σε πολιτιστικά μνημεία, τον έλεγχο σε αεροδρόμια, μέχρι την αστυνόμευση βάσει των προφίλ των πολιτών ή με στόχο την άσκηση πολιτικών πιέσεων. Με τον τρόπο αυτό, τελικά οι άνθρωποι υποχρεούνται να υπακούουν στους νόμους της χώρας, ακριβώς επειδή αισθάνονται ότι παρακολουθούνται διαρκώς.

Ένα άλλο πρόσφατο παράδειγμα που καταδεικνύει την εκτεταμένη χρήσης συστημάτων αναγνώρισης προσώπου αποτελεί η υπόθεση του FBI, το οποίο χρησιμοποίησε τέτοιες τεχνολογίες για τον εντοπισμό ενός ταραχοποιού των γεγονότων του Καπιτωλίου στις Η.Π.Α. από τις δημοσιεύσεις της φίλης του στο Instagram. Οι ομοσπονδιακοί πράκτορες έψαξαν ένα συγκεκριμένο άτομο στο διαδίκτυο, αξιοποιώντας εικόνες από τα γεγονότα στο Καπιτώλιο, συμπεριλαμβανομένων εκείνων των εικόνων που είχαν κοινοποιηθεί στο Twitter, με τη χρήση ενός εργαλείου αναγνώρισης προσώπου ανοιχτού κώδικα, «γνωστού για την εξαγωγή αξιόπιστων αποτελεσμάτων», όπως χαρακτηριστικά ανέφεραν. Η έρευνα αυτή οδήγησε σε ένα δημόσιο προφίλ στο Instagram, το οποίο άνηκε στη φίλη του υπόπτου και περιείχε πλήθος φωτογραφιών του.

Οι φωτογραφίες στον λογαριασμό έδειξαν ότι ο ύποπτος φορούσε τα ίδια ρούχα με εκείνα που τραβήχτηκαν σε φωτογραφίες στο Καπιτώλιο. Κατόπιν, οι ομοσπονδιακοί πράκτορες εντόπισαν τους λογαριασμούς Facebook που ανήκαν στα μέλη της οικογένειάς του, αποκαλύπτοντας τελικά το πλήρες όνομα του υπόπτου. Στη συνέχεια, αφού συσχέτισαν την ταυτότητά του με τα αρχεία αδειών οδήγησης του κράτους, τον παρακολούθησαν στο σπίτι και στον χώρο εργασίας του, όπου εντοπίστηκε ακόμη και από το χαρακτηριστικό καπέλο του, το οποίο φορούσε την ημέρα των γεγονότων στις Η.Π.Α.

Γίνεται έτσι απολύτως σαφές ότι όλες οι βιομετρικές πληροφορίες που συλλέγονται μπορούν να χρησιμοποιηθούν για την αναγνώριση ενός ανυποψίαστου ατόμου στο μέλλον. Σε συνδυασμό μάλιστα με το ενδιαφέρον  των κορυφαίων εταιρειών της βιομηχανίας, όπως η IBM, το Facebook και η Amazon, προβλέπεται η ευρεία εφαρμογή τέτοιων τεχνολογιών στο μέλλον, τόσο για λόγους πρόσβασης όσο και ασφάλειας των συναλλαγών. Αυτές οι πληροφορίες μπορούν επιπλέον να χρησιμοποιηθούν ακόμη και κατά λάθος ή για σκοπό διαφορετικό από τον οποίο συλλέχθηκαν εξ αρχής. Για αυτό και η μακροζωία αυτών των τεχνολογιών σε δημόσιο περιβάλλον θα πρέπει να διασφαλιστεί με κάθε τρόπο..

Όσον αφορά τη συγκατάθεση των ίδιων των ατόμων, πιθανές συμφωνίες παροχής συγκατάθεσης αποτελούν μάλλον ένα σαθρό ρυθμιστικό εργαλείο που σε καμία περίπτωση δεν μπορεί να εξασφαλίσει τη νομιμότητα μίας τέτοιου μεγέθους επεξεργασίας ευαίσθητων προσωπικών δεδομένων. Η ατομική συγκατάθεση για τη χρήση τεχνολογιών αναγνώρισης προσώπου αποδεικνύεται ιδιαίτερα ακανθώδης, αφού θέτει σε κίνδυνο τη συλλογική ιδιωτικότητα.

Ενώ οι νεότεροι κανονισμοί, όπως ο GDPR και ο CCPA, αποτελούν ισχυρές βάσεις για την προστασία της ιδιωτικής ζωής των πολιτών, υπάρχει ανάγκη για αυστηρότερη ρύθμιση των τεχνολογιών αυτών, με πρόβλεψη αυστηρότερων μέτρων αλλά και κυρώσεων. Οι άνθρωποι κινδυνεύουν να συμφιλιωθούν με την ιδέα της μόνιμης και διαρκούς παρακολούθησης, ως μίας πρακτικής αναμενόμενης και φυσιολογικής. Ακόμη περισσότερο, όσα παιδιά γεννιούνται και μεγαλώνουν σε τέτοια περιβάλλοντα παρακολούθησης είναι πιθανό να μην προβάλλουν καμία αντίσταση στην χρήση των εικόνων τους για οποιανδήποτε σκοπό, ενώ είναι ήδη διατεθειμένα να εκχωρήσουν σε οποιοδήποτε μέσο τα προσωπικά τους δεδομένα.

Με την ανοχή και την αποδοχή τέτοιων πρακτικών αναγνώρισης και καταχώρισης προσωπικών χαρακτηριστικών, τελικά ο άνθρωπος αλλοιώνεται και λησμονεί τα δικαιώματά του προς την ελεύθερη επιλογή συμπεριφοράς. Οι παρεμβάσεις στην προσωπική ζωή θεωρούνται πλέον μέρος της καθημερινότητας και οποιοδήποτε ψήγμα ελευθερίας και μοναδικότητας κινδυνεύει να χαθεί διά παντός.

ΔΕΔΟΜΕΝΑ ΤΟΠΟΘΕΣΙΑΣ: ΜΙΑ ΠΛΟΥΤΟΠΑΡΑΓΩΓΙΚΗ ΠΗΓΗ ΠΟΥ ΧΡΕΙΑΖΕΤΑΙ ΠΕΡΙΟΡΙΣΜΟΥΣ

Καθημερινά αλληλεπιδρούμε με πλήθος ψηφιακών υπηρεσιών, όπως όταν χρησιμοποιούμε το τηλέφωνό μας, πληρώνουμε με την πιστωτική μας κάρτα ή αξιοποιούμε τις δημόσιες συγκοινωνίες με τη χρήση των έξυπνων εισιτηρίων. Σε όλες αυτές τις αλληλεπιδράσεις, η ευρεία συλλογή δεδομένων τοποθεσίας είναι δεδομένη και πραγματοποιείται σε μεγάλη κλίμακα, αποτελώντας επεξεργασία προσωπικών δεδομένων που γεννά σίγουρα ερωτήματα ιδιωτικότητας, ειδικά αν αναλογιστεί κανείς τη θεματική αύξηση της αξίας των δεδομένων που μαρτυρούν την ανθρώπινη κινητικότητα και διαθεσιμότητα ανά πάσα στιγμή.

Τα δεδομένα τοποθεσίας περιλαμβάνουν πληροφορίες σχετικά με τον τρόπο με τον οποίο οι συσκευές και οι χρήστες τους μετακινούνται και συμπεριφέρονται με την πάροδο του χρόνου σε διαφορετικές τοποθεσίες. Οι περισσότερες από αυτές τις πληροφορίες προέρχονται από τις συσκευές που έχουμε μαζί μας, με τα έξυπνα κινητά να αποτελούν την κύρια πηγή δεδομένων τοποθεσίας στη σύγχρονη εποχή, με σκοπό -κατ’ αρχάς- τη βελτίωση του πολεοδομικού σχεδιασμού και του δικτύου ή ακόμα και την παρακολούθηση και εξάπλωση των πανδημιών, όπως αυτή του κορωνοϊού. Για παράδειγμα, από μόνη της η εταιρεία τηλεπικοινωνιών Vodafone διατηρεί τις τροχιές τοποθεσίας σχετικά με το ένα τρίτο σχεδόν του πληθυσμού του Ηνωμένου Βασιλείου.

Και φυσικά, δεν υπάρχουν μόνο τα έξυπνα τηλέφωνα. Παρόμοιοι κίνδυνοι σχετίζονται και με άλλες συσκευές που αποστέλλουν και λαμβάνουν ασύρματα σήματα, συμπεριλαμβανομένων των φημισμένων πλέον συσκευών Internet of Things (IoT), όπως ανιχνευτές φυσικής κατάστασης, ιατρικός εξοπλισμός και έξυπνες οικιακές συσκευές. Γενικότερα, οποιοδήποτε αντικείμενο ή συσκευή μπορεί να συνδεθεί στο διαδίκτυο, εκτός των υπολογιστών και των κινητών τηλεφώνων, μπορεί να αποτελέσει συσκευή IoT.

Στην πλευρά αυτή της τεχνολογίας, ίσως μάλιστα εγείρονται κρισιμότερα ερωτήματα, αφού σε αντίθεση με τα έξυπνα κινητά, οι περισσότερες ΙοΤ συσκευές δεν παρέχουν στον χρήστη την επιλογή απενεργοποίησης των υπηρεσιών εντοπισμού και συλλογής της τοποθεσίας του, γεγονός που αφήνει την ιδιωτικότητα και την ασφάλεια των φυσικών προσώπων που τις χρησιμοποιούν στα κατώτατα επιθυμητά επίπεδα. Για αυτό, αξίζει να αναφερθούν τα πλεονεκτήματα που παρουσιάζει η εκτεταμένη αξιοποίηση των δεδομένων τοποθεσίας από τις IoT συσκευές, κάποια από τα οποία αποτελούν: η στόχευση χρηστών/καταναλωτών σε πραγματικό χρόνο, η κατάτμηση των δεδομένων και των υπηρεσιών, η συλλογή και η ανάλυση ακριβών πληροφοριών των καταναλωτών, καθώς και η εκθετική αύξηση της απόδοσης των συσκευών, που οδηγεί αναλόγως και στην αύξηση των κερδών.

Επομένως, τα δεδομένα τοποθεσίας αποτελούν πηγή πληροφοριών και πρέπει να προστατεύονται επαρκώς, αφού ενδέχεται να αποκαλύψουν λεπτομέρειες σχετικά με τον αριθμό των χρηστών σε μία τοποθεσία, τις κινήσεις τους, την καθημερινές τους ανάγκες και συνήθειες, ενώ μπορούν να προβούν σε περίπλοκους συσχετισμούς χρηστών και τοποθεσιών.  Η Υπηρεσία Εθνικής Ασφάλειας των Ηνωμένων Πολιτειών (γνωστή ως NSA) μάλιστα δημοσίευσε πρόσφατα οδηγίες σχετικά με τον τρόπο μείωσης των κινδύνων που απορρέουν από την παρακολούθηση της τοποθεσίας των χρηστών έξυπνων τηλεφώνων και συσκευών IoT. “Παρ’ όλο που δεν είναι πάντα δυνατό να αποφευχθεί εντελώς η έκθεση πληροφοριών τοποθεσίας, είναι δυνατό – μέσω προσεκτικής διαμόρφωσης και χρήσης – να μειωθεί ο όγκος των δεδομένων τοποθεσίας που διαμοιράζονται”, δήλωσε η NSA. Για το σκοπό αυτό, πρότεινε μια σειρά από συμβουλές που περιλαμβάνουν: την απενεργοποίηση των ρυθμίσεων υπηρεσιών τοποθεσίας στη συσκευή του χρήστη, την απενεργοποίηση όλων των ραδιοφωνικών πομπών που δεν βρίσκονται σε χρήση (Bluetooth και Wi-Fi), τη χρήση εικονικού ιδιωτικού δικτύου (VPN) για την απόκρυψη της τοποθεσίας, την παροχή όσο το δυνατόν λιγότερων δικαιωμάτων στις εφαρμογές, καθώς και συμβουλές για τον διαμοιρασμό πληροφοριών στα κοινωνικά δίκτυα.

Οι νομοθέτες από την άλλη έχουν κάνει σημαντικά βήματα για τον περιορισμό της αλόγιστης συλλογής δεδομένων τοποθεσίας, αποσκοπώντας στην προστασία της ιδιωτικότητας των φυσικών προσώπων. Πάντοτε όμως για τη λήψη οποιουδήποτε μέτρου, χρειάζεται να λαμβάνονται υπόψιν ορισμένες παράμετροι.

Η αρχή του περιορισμού του σκοπού πρέπει να τηρείται με ευλάβεια σε όλες τις διαδικασίες συλλογής δεδομένων τοποθεσίας, αποτελώντας μία εκ των θεμελιωδών αρχών του GDPR. Ιδιαίτερα σε περιόδους κρίσης, όπως αυτή της πανδημίας του κορωνοϊού, σοβαρές ανησυχίες εγείρονται σχετικά με την δυνατότητα χρήσης των δεδομένων τοποθεσίας που συγκεντρώθηκαν -για παράδειγμα από μια δημόσια υπηρεσία υγείας για την παρακολούθηση των κρουσμάτων της πανδημίας- για άλλους σκοπούς. Οι κυβερνήσεις θα πρέπει να εξετάσουν πώς συλλέχθηκαν τα δεδομένα τοποθεσίας σε πρώτη φάση και να επαναπροσδιορίσουν τις πολιτικές και τις πρακτικές επεξεργασίας των δεδομένων για διαφορετικούς σκοπούς, λαμβάνοντας επιπρόσθετα μέτρα.

Η δυσκολία της ανωνυμοποίησης των δεδομένων τοποθεσίας αποτελεί ακόμη ένα μείζον ζήτημα, αφού για τη χρήση τους από δημόσιους και ιδιωτικούς φορείς θα πρέπει να διασφαλίζεται ένα υψηλό επίπεδο προστασίας των χρηστών. Για μεγάλο χρονικό διάστημα, βασικό βιομηχανικό πρότυπο αποτελούσε η πλήρης ανωνυμοποίηση των δεδομένων, η τροποποίησή τους δηλαδή με τέτοιο τρόπο ώστε να καθίσταται αδύνατη η αναγνώρισή τους κι έπειτα η χρήση τους από τους φορείς. Ωστόσο, η ανωνυμοποίηση των δεδομένων τοποθεσίας είναι εξαιρετικά δύσκολη, αφού δεν εξασφαλίζεται η επιθυμητή ισορροπία μεταξύ του απορρήτου του χρήστη και της χρησιμότητας των δεδομένων που προκύπτουν για γενική χρήση. Ακόμα κι αν χρησιμοποιούνται μοναδικά αναγνωριστικά αντί για ονόματα, η συμπεριφορά των περισσότερων χρηστών μπορεί εύκολα να εντοπιστεί, για παράδειγμα από την τοποθεσία του σπιτιού τους (όπου η συσκευή “κατοικεί” τη νύχτα).

Πράγματι, έρευνες έχουν αποδείξει ότι αυτά τα δεδομένα είναι εξαιρετικά αναγνωρίσιμα. Μόλις τέσσερα τυχαία σημεία τροχιάς κάποιου ατόμου, όπως πότε και πού αγοράζει τον πρωινό του καφέ, είναι αρκετά για να αναγνωριστεί μοναδικά αυτό ένα άτομο σε ποσοστό 95% των περιπτώσεων σε ένα σύνολο δεδομένων 1,5 εκατομμυρίων ανθρώπων. Επιπλέον, ακόμη και τα πλήρως “συγκεντρωτικά” δεδομένα τοποθεσίας μπορεί να είναι αποκαλυπτικά, αφού λίστες με τέτοια ανωνυμοποιημένα δεδομένα σχετικά με μοτίβα μεγάλων ομάδων ατόμων (όπως χάρτες θερμότητας υψηλού επιπέδου) μπορούν να αποκαλύψουν περισσότερες πληροφορίες από αυτές που επιδιώκουν με την πρώτη ματιά.

Αυτές οι προκλήσεις δεν είναι ανυπέρβλητες, αλλά οι υπεύθυνοι χάραξης πολιτικής θα πρέπει να είναι πολύ προσεκτικοί ώστε να μην υπερεκτιμούν τις τεχνολογικές δυνατότητες, αντιμετωπίζοντας τα δεδομένα τοποθεσίας ως προσωπικά δεδομένα που χρήζουν αυξημένης προστασίας. Αν και φαίνεται να βαδίζουμε στον σωστό δρόμο, υπάρχουν ακόμα πολλά βήματα για την επίτευξη του στόχου.

ΕΓΚΑΤΑΣΤΑΣΗ ΣΥΣΤΗΜΑΤΩΝ CCTV ΓΙΑ ΟΙΚΙΑΚΗ ΧΡΗΣΗ

Καθημερινά όλο και περισσότεροι οργανισμοί αποφασίζουν να εγκαταστήσουν συστήματα βιντεοεπιτήρησης (συστήματα CCTV) προκειμένου να διασφαλίσουν την ασφάλεια των αγαθών που διαθέτουν αλλά και των φυσικών προσώπων που εξυπηρετούν. Ωστόσο, πολλές φορές τέτοια συστήματα χρησιμοποιούνται και από ιδιώτες για οικιακή χρήση, με σκοπό να αποτραπεί οποιαδήποτε κακόβουλη ενέργεια ή να αναγνωριστεί στη συνέχεια ο δράστης κάποιου εγκλήματος.

Στο πεδίο εφαρμογής του GDPR, υπάγεται κάθε επεξεργασία που αφορά δεδομένα φυσικών προσώπων. Επομένως, εφαρμόζεται και στην επεξεργασία που πραγματοποιείται μέσω των οικιακών συστημάτων CCTV, από τη στιγμή που καταγράφεται ή/και αποθηκεύεται σε αρχείο εικόνα ή βίντεο στο οποίο απεικονίζονται φυσικά πρόσωπα εκτός των χώρων της περιμέτρου ιδιοκτησίας του χειριστή του συστήματος.

Ως χώροι εκτός της ιδιοκτησίας του χειριστή νοούνται για παράδειγμα οι χώροι γειτονικών σπιτιών (π.χ. οι κήποι και οι πυλωτές τους), τα πεζοδρόμια και οι δρόμοι γύρω από το σπίτι όπου έχει εγκατασταθεί το σύστημα CCTV.

Ίσως σκέφτεστε να χρησιμοποιήσετε ένα σύστημα CCTV ως απαραίτητο μέσο για την προστασία της περιουσίας σας από πράξεις εγκληματικότητας και αντικοινωνική συμπεριφορά. Ένα οικιακό σύστημα CCTV όμως θα πρέπει να λειτουργεί με υπεύθυνο τρόπο που σέβεται την ιδιωτικότητα των άλλων.

Ακολουθούν μερικές οδηγίες που θα σας βοηθήσουν να μειώσετε τον κίνδυνο παραβίασης της ιδιωτικότητας των φυσικών προσώπων, οι οποίοι ενδεχομένως ελλοχεύουν στη χρήση ενός συστήματος CCTV.

ΚΥΒΕΡΝΟΕΠΙΘΕΣΗ ΣΤΗΝ COSMOTE ΜΕ ΔΙΑΡΡΟΗ ΜΕΓΑΛΟΥ ΟΓΚΟΥ ΔΕΔΟΜΕΝΩΝ ΣΥΝΔΡΟΜΗΤΩΝ

  • Το περιστατικό παραβίασης

Η COSMOTE, ίσως η μεγαλύτερη Εταιρεία σταθερής και κινητής τηλεφωνίας στην Ελλάδα, δέχτηκε μεγάλων διαστάσεων κυβερνοεπίθεση το διάστημα 1-5 Σεπτεμβρίου του 2020, με αποτέλεσμα τη διαρροή δεδομένων τηλεφωνικών κλήσεων χιλιάδων χρηστών. Πιο συγκεκριμένα, πρόκειται για μία μη εξουσιοδοτημένη εξαγωγή αρχείου από το σύστημα της Εταιρείας, η οποία έγινε αντιληπτή μετά από έλεγχο στα συστήματα της COSMOTE.

Η Εταιρεία στο δελτίο τύπου που εξέδωσε σχετικά με το συμβάν αναφέρει μεταξύ άλλων ότι:

«Το εν λόγω αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμό τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της. Εμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI , ηλικία, φύλο, ARPU , συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE. Το αρχείο δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών.»

Όπως απαιτείται, η Εταιρεία απέκλεισε άμεσα οποιαδήποτε περαιτέρω πρόσβαση στα συτήματά της και προέβη στη λήψη όλων των απαραίτητων μέτρων για να περιορίσει τον κίνδυνο και να ελαχιστοποιήσει τις επιπτώσεις του περιστατικού αυτού παραβίασης δεδομένων. Ενημέρωσε επίσης τις αρμόδιες Αρχές, όπως άλλωστε προβλέπεται από το εθνικό κι ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.

  • Γιατί αποτελεί μείζον ζήτημα παραβίασης δεδομένων; Πόσο πολύ επηρεάζει την κατάσταση το γεγονός ότι δεν υπεκλάπησαν ονοματεπώνυμα συνδρομητών;

Η τεραστίων διαστάσεων αυτή πρόσβαση μη εξουσιοδοτημένων προσώπων σε αρχείο συνδρομητών της Εταιρείας αφορά τον αριθμό τηλεφώνου, την ημέρα και ώρα πραγματοποίησης της κλήσης και τη διάρκειά της, τον τύπο της συσκευής που χρησιμοποιήθηκε, την IMSI, την ηλικία και το φύλο του συνδρομητή, το ARPU, τις συντεταγμένες σταθμού βάσης και το πρόγραμμα κινητής τηλεφωνίας του συνδρομητή.

Ωστόσο, ακόμα κι εάν στις πληροφορίες που υπεκλάπησαν δεν αναγράφεται το ονοματεπώνυμο του κάθε συνδρομητή, όταν οι υπόλοιπες πληροφορίες που αφαιρέθηκαν συνδυαστούν, μπορούν να επιτρέψουν τον έμμεσο προσδιορισμό του συνδρομητή. Πολλές φορές δε η ταυτοποίηση ενός υποκειμένου εξαρτάται από το ποιος μπορεί να έχει πρόσβαση ακόμα και σε ελάχιστα δεδομένα για αυτόν, αλλά και σε οποιεσδήποτε άλλες πληροφορίες μπορούν να συνδυαστούν με αυτά, οι οποίες εκ πρώτης όψεως δεν οδηγούν στην ταυτοποίηση του υποκειμένου.

Επομένως, συχνά δεν είναι άμεσα προφανές εάν ένα υποκείμενο δεδομένων μπορεί να αναγνωριστεί ή όχι. Στην περίπτωση της COSMOTE λοιπόν, όπου κάποιος υπέκλεψε πληροφορίες από τις οποίες είχαν αφαιρεθεί τα ονόματα και τα επώνυμα των συνδρομητών, θα μπορούσε να είναι εξίσου εύκολο για τον μη εξουσιοδοτημένο πλέον κάτοχο των πληροφοριών να ταυτοποιήσει τον συνδρομητή και την τοποθεσία του, συνδυάζοντας τις υπόλοιπες πληροφορίες που συνέλεξε για αυτόν.

Επομένως, το γεγονός ότι υπάρχει ακόμα και η παραμικρή υποθετική πιθανότητα κάποιος να μπορεί να ανακατασκευάσει τα δεδομένα που διαθέτει με τέτοιο τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί να ταυτοποιηθεί, αναδεικνύει έντονα την σημαντικότητα του περιστατικού που έλαβε χώρα.

Δεν θα πρέπει να λησμονηθούν τέλος και οι κοινωνικές συνέπειες μίας τέτοιας παραβίασης, τα στοιχεία των συνδρομητών της οποίας θα μπορούσαν είτε να χρησιμοποιηθούν για διαφημιστικούς σκοπούς είτε να πωληθούν στο σκοτεινό διαδίκτυο (dark web) για πολλές χιλιάδες Ευρώ, όπως συνέβη με τα δεδομένα χρηστών της δημοφιλούς πλατφόρμας Zoom . Για τον σκοπό αυτό, οι συχνοί έλεγχοι σωστής λειτουργίας των συστημάτων ενός οργανισμού, η συνεχής εκπαίδευση των εργαζομένων αλλά και η λήψη επίκαιρων και βέλτιστων ανά περίπτωση μέτρων, αποτελεί το κλειδί για την επίτευξη ενός επαρκούς επιπέδου ασφαλείας.

ΛΙΣΤΕΣ ΕΠΑΦΩΝ COVID-19: ΠΩΣ ΝΑ ΤΙΣ ΔΙΑΧΕΙΡΙΣΤΕΙΤΕ ΜΕ ΑΣΦΑΛΕΙΑ

Καθώς διανύουμε μία περίοδο πρωτοφανούς κρίσης εντός του 2020, όλες οι χώρες έχουν αναγκαστεί να υιοθετήσουν μία σειρά μέτρων προστασίας και πρόληψης από τον ιό COVID-19, με στόχο την όσο το δυνατόν αποτελεσματικότερη μείωση των κρουσμάτων σε καθημερινή βάση. Μεταξύ των μέτρων που έχουν προταθεί από τις κυβερνητικές αρχές, είναι και αυτή της υποχρεωτικής καταγραφής προσωπικών δεδομένων πελατών σε αρχείο, ούτως ώστε να είναι δυνατή μία ενδεχόμενη ιχνηλάτηση κρούσματος του ιού.

Πρόκειται πιο συγκεκριμένα για καταγραφή του ονοματεπωνύμου και των στοιχείων επικοινωνίας (τηλέφωνο επικοινωνίας ή διεύθυνση ηλεκτρονικού ταχυδρομείου) του υποκειμένου των δεδομένων, όπως για παράδειγμα του πελάτη μίας επιχείρησης ή του επισκέπτη μίας δημόσιας υπηρεσίας. Αυτά τα αρχεία προτείνεται να τηρούνται για χρονικό διάστημα ενός μήνα, με σκοπό την παρακολούθηση των στενών επαφών του ασθενούς από τις υγειονομικές αρχές σε περίπτωση που ο τελευταίος ασθενήσει από τον ιό.

Για να κρατήσει κάθε οργανισμός και επιχείρηση τα δεδομένα αυτά ασφαλή, χρειάζεται να έχει λάβει προηγουμένως συγκεκριμένα μέτρα προστασίας. Έτσι, τα παρακάτω βήματα μπορούν να βοηθήσουν κάθε επιχείρηση και οργανισμό να συμμορφωθεί με τα νέα μέτρα, τηρώντας παράλληλα τις απαιτήσεις ασφαλείας που επιβάλει το εθνικό και ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.

  • Ελαχιστοποιήστε τον όγκο των δεδομένων που συλλέγετε

Συλλέξτε μόνο τις λεπτομέρειες που πρέπει να παρέχετε στις υγειονομικές αρχές για τον εντοπισμό των επαφών του ασθενούς, όπως για παράδειγμα το όνομα και το τηλέφωνο επικοινωνίας του, την ώρα και την ημερομηνία επαφής του με τον οργανισμό σας. Λάβετε υπόψη σας ότι δεν απαιτείται να ζητήσετε από τους πελάτες ή τους επισκέπτες σας να επαληθεύσουν την ταυτότητά τους.

  • Να είστε απολύτως σαφείς με τους πελάτες σας σχετικά με το «γιατί» συλλέγετε τα δεδομένα τους

Όλο το προσωπικό της επιχείρησης ή του οργανισμού πρέπει να είναι σε θέση να εξηγήσει με σαφήνεια τον σκοπό αυτής της συλλογής, σε κάθε σημείο της αλληλεπίδρασής σας μαζί τους. Εάν για παράδειγμα χρησιμοποιείτε κάποιο ηλεκτρονικό σύστημα κρατήσεων, θα μπορούσατε να προβάλετε σχετικές πληροφορίες πριν την πραγματοποίηση της κράτησης, ενημερώνοντάς τους ότι ορισμένα από τα στοιχεία τους θα διατηρηθούν με σκοπό την ενδεχόμενη ιχνηλάτηση των επαφών τους.

  • Αποθηκεύστε αυτές τις πληροφορίες με προσοχή

Δεν χρειάζεται απαραίτητα να χρησιμοποιείτε εξαιρετικά προηγμένη τεχνολογία για την αποθήκευσή τους. Ωστόσο, εάν αποφασίσετε να τις αποθηκεύσετε ηλεκτρονικά, βεβαιωθείτε ότι έχετε προβεί σε ασφαλή αποθήκευσή τους, με περιορισμένη πρόσβαση μέσω κωδικών ασφαλείας από συγκεκριμένο προσωπικό του οργανισμού.

Προσοχή! Οι λίστες με τα στοιχεία των πελατών σας δεν θα πρέπει να είναι ορατές στους υπόλοιπους πελάτες σας, με στόχο την αποφυγή οποιασδήποτε ενδεχόμενης παραβίασης προσωπικών δεδομένων.

  • Περιορίστε τα δεδομένα μόνο στον σκοπό για τον οποίο συλλέχθηκαν αρχικά

Μην χρησιμοποιείτε αυτά τα δεδομένα για σκοπούς άμεσου μάρκετινγκ ή για να δημιουργήσετε νέες σχέσεις με πελάτες για οποιονδήποτε λόγο. Επίσης, μην αποκαλύπτετε αυτά τα δεδομένα σε τρίτους, με εξαίρεση τις αρμόδιες υγειονομικές αρχές που θα τα αιτηθούν για σκοπούς ανίχνευσης των επαφών τους.

  • Βεβαιωθείτε ότι διαγράφετε τις πληροφορίες αυτές σε τακτά χρονικά διαστήματα, εφόσον έχει περάσει το νόμιμο υποχρεωτικό διάστημα τήρησής τους.

Η τρέχουσα περίοδος διατήρησης των πληροφοριών αυτών είναι ένας μήνας. Προγραμματίστε την τακτική τους διαγραφή και την καταστροφή τους. Βεβαιωθείτε επίσης ότι τα δεδομένα αυτά απορρίπτονται με ασφάλεια και τεμαχίστε τυχόν φυσικά αρχεία -εφόσον έχετε επιλέξει αυτόν τον τρόπο αποθήκευσής τους. Θυμηθείτε τέλος να τα διαγράψετε τόσο από τον κάδο ανακύκλωσης του υπολογιστή σας όσο και από τυχόν αρχεία cloud τηρείτε ως αντίγραφα ασφαλείας ηλεκτρονικά.

Πηγή: Data Protection Commission

ΕΝΤΑΤΙΚΟΙ ΕΛΕΓΧΟΙ ΑΠΟ ΤΙΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Μία επισκόπηση του 2020 και μία πρόβλεψη για το μέλλον.

Έχουν περάσει πάνω από δύο χρόνια από την εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΕΕ) 2016/679 “GDPR”, γεγονός που σίγουρα έχει αλλάξει πολλά, τόσο στις καθημερινές δραστηριότητες των οργανισμών, όσο και στην κουλτούρα των ανθρώπων που εργάζονται σε αυτούς. Καίριο ρόλο στη διαμόρφωση και υιοθέτηση αυτής της στάσης φυσικά έχουν παίξει οι σημαντικές προσπάθειες και κατευθυντήριες γραμμές των Εποπτικών Αρχών της κάθε Ευρωπαϊκής χώρας, παράλληλα με τα υπέρογκα πρόστιμα που έχουν κατά καιρούς επιβληθεί από αυτές.

«Οι ευρωπαϊκοί οργανισμοί πρέπει να επενδύσουν άμεσα στη ανάπτυξη στρατηγικής για τα προσωπικά δεδομένα των φυσικών προσώπων, ιδιαίτερα κατά την εποχή του κορωνοϊού, όταν ο κόσμος, κάνοντας μία τεράστια αλλαγή, στρέφεται στις ψηφιακές πλατφόρμες»

Ορμώμενη από την πραγματικότητα αυτή, μια ομάδα χρηματοοικονομικών αναλυτών από τη Finbold μελέτησε τα πρόστιμα και τις κυρώσεις που έχουν επιβληθεί, μέσω της διαδεδομένης πλέον βάσης δεδομένων “GDPR Enforcement Tracker”. Η μελέτη, η οποία κάλυψε την περίοδο μεταξύ 1ης Ιανουαρίου και 17 Αυγούστου 2020, έδειξε ότι οι ευρωπαϊκοί οργανισμοί πρέπει να επενδύσουν άμεσα στη ανάπτυξη στρατηγικής για τα προσωπικά δεδομένα των φυσικών προσώπων, ιδιαίτερα κατά την εποχή του κορωνοϊού, όταν ο κόσμος, κάνοντας μία τεράστια αλλαγή, στρέφεται στις ψηφιακές πλατφόρμες.

Σύμφωνα με την έρευνα αυτή, διαπιστώθηκε ότι τα κράτη μέλη της ΕΕ και οι χώρες του ΕΟΧ έχουν λάβει συνολικά πρόστιμα ύψους 60,1 εκατ. Ευρώ για παραβιάσεις του GDPR μόνο μέσα στο 2020. Ο πιο συχνός λόγος πίσω από τις παραβιάσεις των δεδομένων; Η ελλιπής ή ανεπαρκής νομική βάση για την επεξεργασία αυτών των δεδομένων, όπως ήταν φυσικό.  

Αν θέλουμε να γίνουμε πιο σαφείς σχετικά με τον τοπικό καταμερισμό των προστίμων αυτών, από την έρευνα φαίνεται ότι η Ισπανία βρίσκεται στην πρώτη θέση, με 76 παραβιάσεις μέσα στο 2020, έχοντας λάβει τον υψηλότερο αριθμό συνολικών προστίμων σε ολόκληρη την ΕΕ/ΕΟΧ. Η τελευταία υπόθεση παραβίασης δεδομένων μάλιστα σχετίζεται με το Σοσιαλιστικό Κόμμα της Καταλονίας, το οποίο χρησιμοποίησε τα προσωπικά δεδομένα που του παρείχε ένας επαγγελματίας γιατρός για πολιτικούς σκοπούς. Το πρόστιμο ανήλθε στα 5.000 Ευρώ.

Η Ελλάδα βρίσκεται στην 13η θέση αυτής της λίστας, καθώς η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) έχει επιβάλει συνολικά 4 πρόστιμα, τα οποία όμως ανέρχονται συνολικά στο ποσό των 33.000 Ευρώ.

Αναφορικά με το συνολικό ύψος των προστίμων, στους πρωτοπόρους βρίσκεται μία άλλη μεσογειακή χώρα, η Ιταλία, έχοντας επιβάλει πρόστιμα που ανέρχονται στα 45,6 εκατομμύρια ευρώ στο σύνολό τους. Η εταιρεία τηλεπικοινωνιών “TIM” αποτέλεσε τον χειρότερο παραβάτη του GDPR, αφού για πολλαπλές παραβιάσεις διατάχθηκε να πληρώσει 27 εκατομμύρια Ευρώ.

Η Κύπρος από την άλλη φαίνεται να έχει λάβει σοβαρά υπόψη τον GDPR, αφού μέσα στο 2020 έχουν επιβληθεί μόλις 2 πρόστιμα ύψους 10.000 Ευρώ. Ωστόσο, όπως αναφέρει στην επίσημη ανακοίνωσή της η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου, πρόκειται να ξεκινήσει τη διενέργεια μαζικών ελέγχων σε ιδιωτικές επιχειρήσεις ανά τομέα δραστηριότητας. «Κύριος σκοπός των ελέγχων αυτών, είναι η αξιολόγηση του επιπέδου συμμόρφωσης των επιχειρήσεων αυτών με τον GDPR, ενώ επιμέρους σκοπούς αποτελούν η αξιολόγηση των πρακτικών που υιοθετούνται και η καταγραφή των διαδικασιών που εφαρμόζονται».

Οι έλεγχοι αυτοί θα εντάσσονται στο γενικότερο πλαίσιο ελέγχου συμμόρφωσης ορισμένων κλάδων του ιδιωτικού τομέα με τον GDPR, ενώ θα αφορούν μικρομεσαίες επιχειρήσεις στην Κύπρο, οι οποίες καταλαμβάνουν ένα σημαντικό ποσοστό της οικονομικής δραστηριότητας του τόπου.

Είναι έτσι περισσότερο από φανερό ότι προτεραιότητα της Ευρωπαϊκής Ένωσης αποτελεί ο σχηματισμός μίας κατάλληλης για την ψηφιακή εποχή Ευρώπης. Για την επίτευξη του σκοπού αυτού όλες οι αρχές προστασίας δεδομένων παραμένουν σε εγρήγορση και είναι σίγουρο ότι πρόκειται να διεξάγουν συνεχώς ελέγχους συμμόρφωσης, ούτως ώστε τα προσωπικά δεδομένα των φυσικών προσώπων να παραμένουν ασφαλή και διασφαλισμένα από παραβιάσεις στην σύγχρονη και συνεχώς εξελισσόμενη τεχνολογικά εποχή.

Top