ΤΑ ΖΗΤΗΜΑΤΑ ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΤΩΝ COOKIES

ΤΑ ΖΗΤΗΜΑΤΑ ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΤΩΝ COOKIES

Παρά την προσπάθεια που καταβάλουν οι επιχειρήσεις για την δημιουργία των αναδυόμενων παραθύρων ενημέρωσης για τη συναίνεση των cookies, παρατηρείται αύξηση των προστίμων και των αγωγών σχετικά με την ιδιωτικότητα. Αυτό συμβαίνει, διότι οι συγκεκριμένες ενημερώσεις αποδεικνύονται ανεπαρκείς για την προστασία τόσο των πελατών όσο και των εταιρειών. Ακόμη, προκύπτουν προβλήματα, τα οποία στις περισσότερες φορές είναι εκτός του άμεσου ελέγχου τους.

Το θέμα των cookies στις επιχειρήσεις

Ειδικότερα, αναφορικά με το θέμα των cookies, πέρα από το γεγονός ότι η πλειονότητα των ανθρώπων προσπερνά γρήγορα τα αναδυόμενα παράθυρα συναίνεσης των cookies επιλέγοντας την “Αποδοχή όλων”, ουσιαστικά δεν  προστατεύονται ούτε οι επιχειρήσεις που ζητούν αυτές τις συναινέσεις ούτε οι πελάτες τους. Το κύριο πρόβλημα που συναντάται στις πιο πρόσφατες νομικές διαφορές είναι η ύπαρξη διάφορων τρόπων παρακολούθησης των καταναλωτών στο διαδίκτυο χωρίς τη χρήση των cookies.

Το ζήτημα είναι εγγενές με τον τρόπο δημιουργίας των ιστοτόπων, καθώς η πλειονότητα των επιχειρήσεων κατασκευάζουν τις ιστοσελίδες τους χρησιμοποιώντας υπηρεσίες τρίτων, όπως είναι το cloud. Αυτές οι υπηρεσίες περιλαμβάνουν εφαρμογές όπως το CRM (Διαχείριση Πελατειακών Σχέσεων), αλλά και προγράμματα παρακολούθησης επισκεψιμότητας που χρησιμοποιούνται από διαφημιστές.

Η περίπτωση του Meta Pixel

Το Meta pixel είναι η ιδανική απεικόνιση αυτού. Λειτουργεί ως ιχνηλάτης που στέλνει πληροφορίες πίσω στην εταιρεία Meta. Συγκεκριμένα, η εσφαλμένη χρήση δεδομένων του Meta Pixel στους ιστότοπους προκάλεσε παραβιάσεις δεδομένων τόσο στις ΗΠΑ όσο και σε χώρες της Ευρωπαϊκής Ένωσης. Στη περίπτωση των ΗΠΑ, υπήρξε σοβαρός αντίκτυπος σε πολυάριθμους οργανισμούς υγειονομικής περίθαλψης.

Το σύστημα υγειονομικής περίθαλψης, Advocate Aurora Health (AAH), όπου υπάγονται σε αυτό 26 νοσοκομεία των πολιτειών Wisconsin και Illinois,, ανακοίνωσε παραβίαση δεδομένων που αφορούσε τα προσωπικά δεδομένα 3.000.000 ασθενών. Η παραβίαση αυτή προκλήθηκε από την εσφαλμένη χρήση δεδομένων του Meta pixel στον ιστότοπο του AAH, όπου οι ασθενείς εγγράφονται και εισάγουν ευαίσθητα δεδομένα, όπως είναι τα δεδομένα υγείας.

Οι επιπτώσεις στην ιδιωτικότητα του ατόμου

Οι πληροφορίες που προκύπτουν από τις εφαρμογές που χρησιμοποιούν για την ορθή λειτουργεία των ιστοτόπων οι τρίτες εταιρείες (CRM κλπ.), μπορούν να χρησιμοποιηθούν από τους διαφημιστές για να προσαρμόσουν τις διαφημίσεις σε πιθανούς πελάτες και να ενημερωθούν για την αποτελεσματικότητα της εκάστοτε καμπάνιας μάρκετινγκ που κάνουν. Ωστόσο, αυτοί οι ιχνηλάτες συγκεντρώνουν επίσης συγκεκριμένα και λεπτομερή προσωπικά δεδομένα που στη συνέχεια προστίθενται σε ήδη υπάρχοντα αποθηκευμένα (portfolio) δεδομένα.

Με αυτόν τον τρόπο, όταν κάποιος επισκέπτεται έναν ιστότοπο υγειονομικής περίθαλψης, ενημερώνει παραδείγματος χάριν το Facebook για μια ιατρική πάθηση που ερευνά. Επομένως, η ιδιωτικότητα του ατόμου συγκρούεται με τις τρέχουσες τεχνικές της ψηφιακής διαφήμισης.

Συμπέρασμα

Εν κατακλείδι, δεν απαιτείται μόνο η βελτίωση της πολιτικής των cookies μέσα από τα αναδυόμενα παράθυρα συναίνεσης των προαιρετικών ιχνηλατών. Απαραίτητη είναι η εστίαση σε περαιτέρω τεχνικές από τις επιχειρήσεις, οι οποίες πρέπει να έχουν την δυνατότητα να παρατηρούν, να παρακολουθούν και να ελέγχουν τις πτυχές της εμπλοκής στον ιστότοπο που σχετίζονται με το πρόγραμμα περιήγησης, τις οποίες φαίνεται πως δεν ελέγχουν αυτήν την στιγμή.

 

Πηγές:

https://www.cpomagazine.com/cyber-security/blocking-cookies-is-insufficient/

https://www.cybersecurity-insiders.com/meta-pixel-hack-leads-to-us-healthcare-provider-data-breach-affecting-3-million-patients/

 

ΠΡΟΣΤΙΜΟ-ΜΑΜΟΥΘ ΣΤΗΝ TWITTER ΓΙΑ ΠΑΡΑΝΟΜΗ ΠΩΛΗΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΧΡΗΣΤΩΝ

Είναι γεγονός πως το ύψος των προστίμων που απορρέουν από παραβιάσεις προσωπικών δεδομένων αυξάνεται με μαθηματική ακρίβεια με το πέρας του χρόνου και την ενδυνάμωση των νομοθεσίων προστασίας των δεδομένων. Η αμερικάνικη εταιρεία-κολοσσός Twitter αποτελεί τον τελευταίο θύτη, καθώς σε αυτή επεβλήθη από την Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) των ΗΠΑ και το αμερικανικό Υπουργείο Δικαιοσύνης πρόστιμο ύψους 150 εκατομμυρίων δολαρίων για παράνομη πώληση των προσωπικών δεδομένων χρηστών σε διαφημιζόμενες εταιρείες. Ωστόσο, η εξέλιξη αυτή δεν θα έπρεπε να  δημιουργεί ερωτήματα, δεδομένου ότι τα έσοδα του Twitter βασίζονται σε συντριπτικό ποσοστό στις διαφημίσεις που προβάλλονται στην πλατφόρμα.

Πιο συγκεκριμένα, η Επιτροπή κατηγόρησε το Twitter για πώληση αριθμών τηλεφώνων και διευθύνσεων emails 140 εκατομμυρίων χρηστών σε διαφημιζόμενες στην πλατφόρμα εταιρείες. Το ζήτημα ξεκινάει μάλιστα από το 2013 όταν το Twitter ξεκίνησε να ζητά τα τηλέφωνα και άλλα προσωπικά δεδομένα των χρηστών με τη δικαιολογία ότι είναι απαραίτητα για τη διασφάλιση της ασφάλειας των λογαριασμών τους και ότι τα δεδομένα αυτά θα είναι προστατευμένα από οποιονδήποτε τρίτο. Ωστόσο, η αμερικάνικη εταιρεία παρέλειψε να ενημερώσει τα υποκείμενα πως τα προσωπικά τους δεδομένα θα χρησιμοποιούνταν και για διαφημιστικούς σκοπούς. Πρόκειται συνεπώς για άμεση παραβίαση του και των δεσμεύσεων της Twitter, στην οποία με διοικητική εντολή της Επιτροπής FTC το 2011, απαγορεύτηκε στην εταιρεία να παραποιεί τις πρακτικές ασφαλείας και απορρήτου της και να επωφελείται από δεδομένα που συλλέγονται παραπλανητικά από τους χρήστες. Έλαβε χώρα έτσι παράνομη επεξεργασία προσωπικών δεδομένων των χρηστών του Twitter, καθώς δεν ενημερώθηκαν επαρκώς για τους σκοπούς της επικείμενης επεξεργασίας και δεν στοιχειοθετήθηκε η απαιτούμενη νομική βάση.

Μάλιστα, ο επικεφαλής υπεύθυνος ασφάλειας προσωπικών δεδομένων του Twitter, Damien Kieran, αναγνώρισε σε μια ανάρτηση σε σχετικό blog ότι τα προσωπικά στοιχεία των χρηστών «μπορεί να έχουν χρησιμοποιηθεί κατά λάθος για διαφήμιση». Δήλωσε ωστόσο ότι η εταιρεία δεν πουλά πλέον σε διαφημιστές πληροφορίες που συλλέγονται για λόγους ασφαλείας.

«Αν λέτε στους ανθρώπους ότι χρησιμοποιείτε τους αριθμούς τηλεφώνου τους για να προστατεύσετε τους λογαριασμούς τους και στη συνέχεια τους χρησιμοποιείτε για άλλους σκοπούς, τους εξαπατάτε και παραβιάζετε το νόμο», δήλωσε ο Sam Levine, επικεφαλής του Γραφείου Καταναλωτών της FTC σε σχετική συνέντευξη.

Αξίζει τέλος να αναφερθεί οτι η Επιτροπή Κεφαλαιοαγοράς των ΗΠΑ (SEC) είχε αποστείλει επιστολή στον δισεκατομμυριούχο Ελον Μασκ όταν ανακοίνωσε ότι απέκτησε το 9,2% των μετοχών του Twitter, ζητώντας εξηγήσεις γιατί υπέβαλε το σχετικό έγγραφο στην SEC με καθυστέρηση πολλών ημερών και εκτός των ορίων που ορίζονται από τον νόμο, αφού κάτι τέτοιο ενδεχομένως να σχετιζόταν με τη μόχλευση των τιμών των μετοχών. Ο Έλον Μασκ έχει επικρίνει το επιχειρηματικό μοντέλο της πλατφόρμας που βασίζεται ολοκληρωτικά στις διαφημίσεις, ενώ δεσμεύτηκε να διαφοροποιήσει τις πηγές εσόδων του.

Η ΠΡΟΣΤΑΣΙΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΣΤΟΝ ΝΕΟ ΚΟΣΜΟ ΤΟΥ METAVERSE

Από τη δεκαετία του 1990 όταν και διαδόθηκε ευρέως το Internet, ο κυβερνοχώρος συνεχίζει να εξελίσσεται με εκπληκτικούς ρυθμούς. Έχουν δημιουργηθεί πλείστα εικονικά περιβάλλοντα που απαιτούν τη διαμεσολάβηση υπολογιστή για να λειτουργήσουν, όπως για παράδειγμα τα μέσα κοινωνικής δικτύωσης, τα λεγόμενα NFTs, αλλά και οι τεχνολογίες εκτεταμένης πραγματικότητας (extended reality), οι οποίες περιλαμβάνουν την εικονική πραγματικότητα (VR) και την επαυξημένη πραγματικότητα (AR). Όλα αυτά τα ψηφιακά περιβάλλοντα, αν και ασύνδετα συνήθως μεταξύ τους, έχουν οδηγήσει σε ραγδαίο ψηφιακό μετασχηματισμό, μέρος του οποίου αποτελεί πλέον και το “Metaverse”, ένας όρος που επινοήθηκε για να διευκολύνει περαιτέρω την ψηφιακή αλλαγή σε κάθε πτυχή της καθημερινότητας των ανθρώπων.

Αλλά, τι είναι το Metaverse;

Το Metaverse είναι ένα δίκτυο τρισδιάστατων, εικονικών κόσμων που στοχεύουν στην κοινωνική σύνδεση των ανθρώπων. Αποτελεί το επόμενο στάδιο ανάπτυξης του διαδικτύου, αφού λογίζεται ως μία τρισδιάστατη έκδοσή του, η αξιοποίηση του οποίου διευκολύνεται από τη χρήση γυαλιών και ακουστικών (headsets) εικονικής και επαυξημένης πραγματικότητας ή κατάλληλα τοποθετημένων αισθητήρων στον χώρο.

Μολονότι ο όρος έχει γίνει ευρέως γνωστός τα τελευταία χρόνια, η λέξη “metaverse” επινοήθηκε στην πραγματικότητα από τον συγγραφέα Neal Stephenson στο μυθιστόρημα επιστημονικής φαντασίας “Snow Crash” του 1992. Στο βιβλίο του, ο Stephenson αναφέρεται στο metaverse ως ένα ολοκληρωμένο ψηφιακό κόσμο που υπάρχει παράλληλα με τον πραγματικό κόσμο. Στο Metaverse του σήμερα, η φυσική πραγματικότητα συγχωνεύεται με τον ψηφιακό κόσμο, όπου τεχνολογίες που επιτρέπουν πολυαισθητηριακές αλληλεπιδράσεις συγκλίνουν με τα εικονικά περιβάλλοντα και τα αντικείμενα, δημιουργώντας εξατομικευμένους ψηφιακούς χαρακτήρες, τα «άβαταρ». Μέσω αυτών των άβαταρ οι χρήστες έχουν τη δυνατότητα να γνωρίζουν φίλους, να συνεργάζονται με συναδέλφους, να παίξουν παιχνίδια, ακόμη και να πάνε για ψώνια.

Αν και το metaverse βρίσκεται ακόμη στα πρώτα στάδια ανάπτυξής τους, πολλοί είναι αυτοί που ισχυρίζονται ότι το Metaverse θα είναι το μέλλον του διαδικτύου και επομένως της καθημερινότητας των ανθρώπων. Με τις Big Tech Εταιρείες να έχουν ήδη επενδύσει σε μεγάλο βαθμό σε αυτές τις τεχνολογίες, ο ρυθμός ανάπτυξής τους αυξάνεται συνεχώς. Το headset εικονικής πραγματικότητας “Oculus Quest” της Meta (πρώην Facebook) αποτέλεσε ήδη ένα από τα πιο δημοφιλή χριστουγεννιάτικα δώρα στις ΗΠΑ το 2021. Δημοφιλείς εταιρείες, όπως η Nike, έχουν ήδη αγοράσει ακίνητα σε πλατφόρμες εικονικής πραγματικότητας, ενώ καλλιτέχνες, όπως η Ariana Grande, πραγματοποιούν συναυλίες μέσα στο metaverse ως άβαταρ, που αλληλοεπιδρούν με άλλα σε πραγματικό χρόνο.

Εκτός όμως από τα παραπάνω, το Metaverse περιλαμβάνει επίσης μια έκρηξη πληροφοριών. Ο όγκος των προσωπικών δεδομένων που συλλέγονται από τους χρήστες είναι τεράστιος, κι έτσι, αναπόφευκτα εμφανίζονται σημαντικά ζητήματα προστασίας της ιδιωτικότητας και των δικαιωμάτων των χρηστών.

Προστασία προσωπικών δεδομένων σε περιβάλλον εικονικής πραγματικότητας

Τα συστήματα εικονικής πραγματικότητας λειτουργούν καταγράφοντας εκτεταμένα βιομετρικά δεδομένα για το σώμα ενός χρήστη, συμπεριλαμβανομένων βιολογικών δεδομένων όπως η ταχύτητα της κίνησης των ματιών, η θερμοκρασία του σώματός του, αλλά και οι αυθόρμητες αντιδράσεις του σε ερεθίσματα. Μάλιστα, σύμφωνα με μία έρευνα,  περνώντας μόλις 20 λεπτά σε έναν προσομοιωτή εικονικής πραγματικότητας, καταγράφονται σχεδόν δύο εκατομμύρια μοναδικές εγγραφές της γλώσσας του σώματος. Επιπλέον, μία άλλη έρευνα συμπεραίνει πως μόλις πέντε λεπτά σε έναν τέτοιο προσομοιωτή, έχοντας αποκρύψει πλήρως όλα τα προσωπικά αναγνωριστικά του χρήστη, αρκούν για να ταυτοποιηθεί με ακρίβεια 95%, με την αξιοποίηση αλγορίθμων μηχανικής μάθησης.

Η συλλογή τέτοιου όγκου δεδομένων ίσως μπορεί να οδηγήσει σε βιομετρική καταγραφή των ανθρώπων με επακόλουθη συνέπεια την αποκάλυψη πληροφοριών για τις προτιμήσεις τους και τα ενδιαφέροντά τους. Κι αυτό διότι στις εμπειρίες της εικονικής πραγματικότητας δεν αποτυπώνονται μόνο οι εξωτερικές συμπεριφορές του χρήστη, αλλά και οι συναισθηματικές του διακυμάνσεις ή αντιδράσεις σε συγκεκριμένες καταστάσεις, με την καταγραφή για παράδειγμα της διαστολής της κόρης των ματιών ή της αλλαγής στις εκφράσεις του προσώπου του. Εάν για παράδειγμα ένας χρήστης αντικρίσει σε ένα περιβάλλον εικονικής πραγματικότητας ένα λαμπερό κόκκινο αυτοκίνητο, η συναισθηματική απόκρισή του μπορεί εύκολα να αναλυθεί, να καταγραφεί και να παρακολουθηθεί, ακόμα και σε πραγματικό χρόνο. Η διαστολή της κόρης του θα μπορούσε να αποτυπώσει τον ενθουσιασμό που νιώθει ο χρήστης βλέποντας το αυτοκίνητο και οι γαλβανικές αποκρίσεις του δέρματος θα μπορούσαν να αποτυπώσουν την ένταση των συναισθημάτων του. Στο βαθμό μάλιστα που αυτά τα προσωπικά δεδομένα χρησιμοποιούνται από τους παράγοντες του Metaverse για να αξιολογήσουν τον χρήστη ή για να λάβουν αποφάσεις σχετικά με αυτόν, τότε θεωρούνται προσωπικά δεδομένα ειδικών κατηγοριών σύμφωνα με τον GDPR και οι εγγυήσεις για την προστασία τους θα πρέπει να είναι αυξημένες.

Η πρόσβαση σε τέτοια δεδομένα μπορεί να οδηγήσει σε εξαιρετικά αδιαφανείς και παρεμβατικούς τρόπους κατάρτισης προφίλ των φυσικών προσώπων, σε εκτεταμένη κατηγοριοποίησή τους, ακόμη και σε στόχευση προσώπων με βάση τα καταγεγραμμένα χαρακτηριστικά τους. Υπάρχουν ήδη αρκετές περιπτώσεις λήψης αποφάσεων βάσει τέτοιων πρακτικών και αλγοριθμικών συστημάτων.

Επιπρόσθετα, στο Metaverse, ο καθορισμός της οντότητας ή των οντοτήτων που θα έχουν την ευθύνη για τον προσδιορισμό των προσωπικών δεδομένων που θα υποβληθούν σε επεξεργασία και τον σκοπό επεξεργασίας (Υπεύθυνος Επεξεργασίας των δεδομένων), σίγουρα είναι μία δύσκολη απόφαση, αφού πιθανώς να περιλαμβάνει τον καθορισμό συγκεκριμένων ρόλων μέσω σε έναν περίπλοκο ιστό σχέσεων χωρίς προφανείς αρμοδιότητες.

Η δημιουργία των άβαταρ

Κάθε φορά που ένας χρήστης εισέρχεται στο metaverse, δημιουργεί το άβαταρ του. Για να «ζήσει» όμως και να «συνυπάρξει» αυτό με τα υπόλοιπα στοιχεία του metaverse, αλλά και για να εκτελέσει τις επιθυμητές δραστηριότητες, απαιτείται η κοινή χρήση και η έκθεση όλο και περισσότερων δεδομένων του χρήστη με τις εταιρείες τεχνολογίας που έχουν δημιουργήσει το εκάστοτε εικονικό περιβάλλον. Οι εταιρείες αυτές είναι σε θέση να αξιοποιήσουν εύκολα αυτά τα δεδομένα για να εξορθολογήσουν και να προσαρμόσουν κατάλληλα τα προϊόντα και τις υπηρεσίες τους, σύμφωνα με τις ατομικές προσδοκίες των χρηστών. Μία τέτοια ωστόσο πρακτική θα μπορούσε να οδηγήσει σε μεγαλύτερη εποπτεία των δραστηριοτήτων του χρήστη, με χαρακτηριστικό και αναμενόμενο απότοκο ακόμη και την πώληση των δεδομένων αυτών σε διαφημιστές.

Φυσικά, καθώς οι χρήστες θα παράγουν ασταμάτητα περισσότερα δεδομένα μέσα στο Metaverse, ο κίνδυνος κλοπής τους είναι αυξημένος. Καθώς οι χρήστες αυξάνουν το ψηφιακό τους αποτύπωμα στον νέο ψηφιακό κόσμο και βιώνουν μια συνεχώς πιο καθηλωτική εμπειρία, δημιουργούν μεγάλο όγκο προσωπικών δεδομένων, γεγονός που εγείρει ερωτήματα σχετικά με το ποιος είναι υπεύθυνος για την αποθήκευσή τους, την εν γένει επεξεργασία τους, αλλά και τη διασφάλισή τους από τυχόν κακόβουλες, μη εξουσιοδοτημένες προσπάθειες πρόσβασης και εν τέλει παραβίασης της ιδιωτικότητάς τους. Μία παραβίαση του κυβερνοχώρου θα μπορούσε να επιφέρει άμεσο οικονομικό πλήγμα στην εταιρεία/δημιουργό του ψηφιακού περιβάλλοντος, με ακόμη μεγαλύτερες συνέπειες για τους χρήστες του.

Τελικά σχόλια

Οι παραπάνω είναι μόνο κάποιοι από τους κινδύνους που φαίνεται να εγκυμονεί η εξάπλωση του Metaverse για τα δικαιώματα και τις ελευθερίες των χρηστών του ως φυσικών προσώπων. Άλλα ζητήματα που προκύπτουν αφορούν ένα ευρύ φάσμα του εμπορικού και οικονομικού νομικού πλαισίου, όπως η νομιμοποίηση των εσόδων από παράνομες δραστηριότητες εντός του Metaverse, η ρύθμιση των χρηματοπιστωτικών υπηρεσιών, τα ζητήματα των NFTs, αλλά και πλήθος θεμάτων πνευματικής ιδιοκτησίας. Όσον αφορά τον τομέα της πνευματικής ιδιοκτησίας (copyright) ένα περίπλοκο ερώτημα θα ήταν εάν ένας χρήστης που δημιούργησε κάτι στο Metaverse, όπως το άβαταρ του, το σπίτι του ή το περιβάλλον δραστηριοποίησής του, θα κατέχει ο ίδιος τα δικαιώματα για τα δημιουργήματά του ή αυτά θα ανήκουν αποκλειστικά στην Εταιρεία στην οποία ανήκει το εικονικό περιβάλλον.

Εναπόκειται επομένως στις εταιρείες τεχνολογίας να προσαρμόσουν τις πολιτικές τους κατάλληλα, ώστε να μπορούν να ανταποκριθούν στις απαιτήσεις της επανάστασης που φέρνει σταδιακά ο κόσμος της εικονικής πραγματικότητας, ελαχιστοποιώντας τα ρίσκα για την παραβίαση της ιδιωτικότητας. Η Εταιρεία Meta έχει ήδη ανακοινώσει ότι πρόκειται να συνεργαστεί στενά με τους οργανισμούς για την προστασία των πολιτικών δικαιωμάτων προκειμένου να διασφαλίσει ότι το Metaverse αξιοποιεί μόνο τεχνολογίες που «έχουν κατασκευαστεί με τρόπο που να είναι περιεκτικός και ενδυναμωτικός για τα δικαιώματα και τις ελευθερίες των ατόμων.»

Μεγάλο μέρος του νομοθετικού πλαισίου για την προστασία της ιδιωτικότητας στο Metaverse αναμένεται να βρει εφαρμογή, όπως ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR), ενώ σε άλλες περιπτώσεις οι υφιστάμενοι νόμοι μπορεί να αποδειχθούν ανεπαρκείς για την αντιμετώπιση των συμπεριφορών στα εικονικά περιβάλλοντα, γεγονός που θα προκαλέσει την ψήφιση νέων νόμων και κανονισμών. Κάποιοι από αυτούς μπορεί να περιλαμβάνουν την ψήφιση του Digital Services Act, του Digital Markets Act, και του προτεινόμενου AI Regulation.

Καθώς το Metaverse γίνεται σταδιακά πραγματικότητα, αναμένεται να ανακύψουν και άλλα νομικά ζητήματα σχετικά με την προστασία των προσωπικών δεδομένων, που σίγουρα στην παρούσα φάση είναι αδύνατο να προβλεφθούν. Το καίριο ζήτημα που θα παραμείνει αφορά την αέναη παραγωγή πλήθους προσωπικών πληροφοριών για τους χρήστες του Metaverse, σε συνδυασμό με τη συνεχόμενη απαίτηση για νέο εξοπλισμό, τεχνικό υλικό και νέας γενιάς λογισμικό, τα οποία χρειάζεται εξ ορισμού και από τον σχεδιασμό τους να συνάδουν με τις θεμελιώδεις αρχές για την προστασία των προσωπικών δεδομένων.

 

Ελένη Καλπία

Δικηγόρος, Data Privacy Consultant

ΠΡΟΒΛΕΨΕΙΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΓΙΑ ΤΟ 2021

To 2021 καταφθάνει και όλα δείχνουν πως θα είναι ένα έτος μετάβασης και αναπροσαρμογής. Οι οργανισμοί, οι καταναλωτές και οι επιχειρήσεις κάθε είδους αρχίζουν να αφήνουν πίσω την πανδημία και τις επιπτώσεις της και υιοθετούν σταδιακά την «νέα κανονικότητα».

H ιδιωτικότητα και η διασφάλιση των προσωπικών δεδομένων παραμένει ο απόλυτος στόχος. Οι οργανισμοί πρέπει να συμβαδίζουν με νέες έννοιες και απαιτήσεις, προκειμένου να παραμένουν συμμορφωμένοι και να ανταποκρίνονται στις προσδοκίες των καταναλωτών. Οι ελεγκτικές αρχές πιάνουν εντατικά δουλειά, οι καταναλωτές ασκούν ενεργά τα δικαιώματα επί των προσωπικών τους δεομένων και οι κυρώσεις αυξάνονται. Ποιες είναι έτσι οι νέες τάσεις που χρειάζεται όλοι να λάβουν υπόψιν για τον προγραμματισμό της νέας χρονιάς;

Ευαισθητοποίηση των οργανισμών και κουλτούρα προστασίας ιδιωτικότητας

Το 2020 στιγματίστηκε από την πανδημία του κορωνοϊού, η οποία επηρέασε κάθε πτυχή της οικονομίας, κάθε άτομο και κάθε μέρος του κόσμου. Παράλληλα όμως οδήγησε σε μια συνεχή αύξηση της ευαισθητοποίησης των καταναλωτών σχετικά με τα δικαιώματα προστασίας της ιδιωτικής τους ζωής. Λόγω της καθημερινής δημοσίευσης και συζήτησης νέων πρακτικών επεξεργασίας δεδομένων -όπως η συλλογή δεδομένων τοποθεσίας για την πρόληψη εξάπλωσης του ιού, αλλά και η αυξανόμενη ανάγκη των εργοδοτών για επιπρόσθετη και κατ’ εξαίρεση συλλογή δεδομένων υγείας των υπαλλήλων τους-, η προστασία της ιδιωτικότητας έχει επιβεβαιωμένα εξασφαλίσει τη θέση της στο προσκήνιο το 2021.

Μάλιστα, ορισμένοι προβλέπουν ότι ο συνδυασμός της ευαισθητοποίησης των καταναλωτών και της κανονιστικής ρύθμισης θα στρέψει την προσοχή στην ηθική των δεδομένων ως κινητήρια δύναμη για τη λήψη αποφάσεων το 2021. Οι οργανισμοί πρόκειται να συνδέσουν ρητά το όραμα και τις αξίες τους με την ηθική τους θέση σχετικά με την προστασία των προσωπικών δεδομένων, κάτι που πλέον θα συμπεριλαμβάνεται ως μείζον ζήτημα ακόμα και στις ετήσιες εκθέσεις πεπραγμένων των οργανισμών. Βέβαια, αυτή η συνδεσιμότητα με τη διακυβέρνηση και την ασφάλεια των δεδομένων υπάρχει εδώ και λίγο καιρό στους πιο ώριμους οργανισμούς, απλώς σήμερα συζητείται πιο ανοιχτά.

Οι καταναλωτές ζητούν απόλυτη διαφάνεια

Οι κυβερνήσεις δεν είναι οι μόνες που θα περιμένουν περισσότερα από τα πρότυπα απορρήτου των μεγάλων εταιρειών τεχνολογίας. Δεδομένου ότι συμβάντα όπως η υπόθεση TikTok έχουν κάνει τους ανθρώπους πιο ενήμερους για το ποιες εφαρμογές θα μπορούσαν να έχουν πρόσβαση στα προσωπικά τους δεδομένα, όλο και περισσότεροι καταναλωτές θα απαιτήσουν διαφάνεια ως προς τον τρόπο επεξεργασίας των δεδομένων τους. Το 2021 οι εταιρείες που είναι διαφανείς σχετικά με τον τρόπο με τον οποίο χρησιμοποιούν δεδομένα, πιθανότατα θα είναι πιο επιτυχημένες. Το κοινό ανησυχεί περισσότερο από ποτέ για τα δεδομένα του και οι επιλογές του θα το αντικατοπτρίσουν σύντομα.

Πλουραλισμός παγκόσμιου κανονιστικού πλαισίου

Η Gartner προβλέπει ότι το 2021 το 65% των ανθρώπων σε ολόκληρο τον κόσμο θα προστατεύουν τα προσωπικά τους δεδομένα βασιζόμενοι σε νομοθετικά πλαίσια προστασίας της ιδιωτικότητας, σε σύγκριση με το 10% του 2020.

Νέα καθεστώτα προστασίας δεδομένων βρίσκονται σε εξέλιξη, όπως αυτό της Κίνας, η οποία τον Οκτώβριο δημοσίευσε ένα πρώτο σχέδιο νόμου περί προστασίας προσωπικών δεδομένων (Draft PIPL), με στόχο την προστασία της ιδιωτικής ζωής των κατοίκων της ηπειρωτικής Κίνας και της Αυστραλίας. Επιπλέον, το νομοσχέδιο για την προστασία Προσωπικών Δεδομένων της Ινδίας βρίσκεται υπό εξέταση, το οποίο παρουσιάζει μεν ομοιότητες με τον GDPR, έχει όμως σημαντικές διαφορές, για τις οποίες ανησυχεί η παγκόσμια κοινότητα.

Για τους οργανισμούς που δραστηριοποιούνται διεθνώς, η ανάγκη να ισορροπήσουν μεταξύ πολλαπλών κανονιστικών πλαισίων θα συνεχιστεί και μετά το 2021. Αναμφίβολα ο GDPR συνεχίζει να έχει παγκόσμια ισχύ, επηρεάζοντας τόσο τα αναδυόμενα ρυθμιστικά πλαίσια προστασίας δεδομένων όσο και τα αρκετά ώριμα. Αυτή η αστάθεια όμως είναι πιθανό να συνεχιστεί για πολύ καιρό και οργανισμοί που υπόκεινται σε καθεστώτα όπως ο GDPR ή ο CCPA της Καλιφόρνια, ίσως κριθεί σκόπιμο να εφαρμόσουν τις απαιτήσεις αυτές ακόμη και εκτός των δικαιοδοσιών που καλύπτονται από το ως άνω νομικό πλαίσιο.

Αβεβαιότητα σχετικά με τις διεθνείς διαβιβάσεις δεδομένων

Η ασάφεια σχετικά με τις διεθνείς διαβιβάσεις δεδομένων αποτέλεσε έντονο θέμα συζήτησης το 2020. Τον Ιούλιο το Ανώτατο Δικαστήριο της Ευρωπαϊκής Ένωσης κατέρριψε, με την λεγόμενη απόφαση SCHREMS II, την Ασπίδα Προστασίας της Ιδιωτικής ζωής των ΗΠΑ (US Privacy Shield), η οποία στο παρελθόν επέτρεπε τη διαβίβαση δεδομένων μεταξύ της ΕΕ και των ΗΠΑ. Η επίλυση του ζητήματος αυτού θα μπορούσε να αποτελέσει σημείο πίεσης για την εισερχόμενη κυβέρνηση των ΗΠΑ, κυρίως λόγω της σημασίας της διαβίβασης δεδομένων σε εκνευρισμένες πλέον αμερικανικές αλλά και παγκόσμιες επιχειρήσεις.  

Στις αρχές του 2021 θα δούμε επίσης το τέλος της μεταβατικής περιόδου του Ηνωμένου Βασιλείου μετά την έξοδό του από την Ε.Ε. Αναμένεται ευρέως ότι το Ηνωμένο Βασίλειο θα γίνει εν τέλει «τρίτη χώρα» όσον αφορά τον GDPR, ο οποίος θα έχει σημαντικές επιπτώσεις στις ευρωπαϊκές επιχειρήσεις. Αυτό σημαίνει ότι εάν ένας οργανισμός διαβιβάζει προσωπικά δεδομένα από την ηπειρωτική Ευρώπη στο Ηνωμένο Βασίλειο για σκοπούς αποθήκευσης ή απλής χρήσης θα πρέπει να βρει εναλλακτικές λύσεις για να βεβαιωθεί ότι αυτές οι διαβιβάσεις μπορούν να συμβούν με τρόπο που δεν παραβιάζει τους κανόνες προστασίας της ιδιωτικότητας.

Δυσκολία επίτευξης ομοφωνίας για την χρήση κρυπτογράφησης

Τον περασμένο Οκτώβριο κυκλοφόρησε μια δήλωση από το Υπουργείο Δικαιοσύνης των ΗΠΑ, υπογεγραμμένο από εκπροσώπους των ΗΠΑ, του Ηνωμένου Βασίλειου, της Αυστραλίας, της Νέας Ζηλανδίας, του Καναδά, της Ινδίας και της Ιαπωνίας, υποστηρίζοντας ότι η τεχνολογία κρυπτογράφησης από άκρο σε άκρο (end-to-end encryption) θέτει προκλήσεις για τη δημόσια ασφάλεια, συμπεριλαμβανομένων των ευάλωτων μελών της κοινωνίας, όπως τα θύματα κακοποίησης. Η δήλωση ζητούσε να επιτραπεί με νόμο η πρόσβαση σε περιεχόμενο με «αναγνώσιμη και χρησιμοποιήσιμη μορφή, όταν υπάρχει νόμιμη εξουσιοδότηση και η πρόσβαση είναι απαραίτητη και αναλογική με τον επιδιωκόμενο σκοπό».

Τον Δεκέμβριο του 2020, η Επίτροπος για τα Παιδιά του Ηνωμένου Βασιλείου, Anne Longfield, δήλωσε ότι η κρυπτογράφηση ηλεκτρονικών επικοινωνιών από άκρο σε άκρο δεν θα πρέπει να ισχύει για παιδικούς λογαριασμούς των γνωστών τεχνολογικών πλατφορμών όπως το Facebook Messenger. «Η κρυπτογράφηση από άκρο σε άκρο καθιστά αδύνατη για την ίδια την πλατφόρμα να διαβάσει τα περιεχόμενα των μηνυμάτων και κινδυνεύει να εμποδίσει την αστυνομία και τους εισαγγελείς να συγκεντρώσουν τα αποδεικτικά στοιχεία που χρειάζονται για να διώξουν τους δράστες σεξουαλικής εκμετάλλευσης και κακοποίησης παιδιών», δήλωσε η Longfield.

Ωστόσο, οι υπερασπιστές της ιδιωτικότητας είναι αντίθετοι σε οποιεσδήποτε απόπειρες -βασισμένες είτε στην Ε.Ε. είτε στις ΗΠΑ- αποδυνάμωσης της κρυπτογράφησης. Όπως υποστηρίζεται, με τον τρόπο αυτό θα δοθεί ένα «κλειδί» προκειμένου οι κυβερνήσεις να μπορούν να ξεκλειδώσουν τα περιεχόμενα των δεδομένων του εκάστοτε προσώπου. Αλλά αυτό που πραγματικά επιδιώκεται είναι να δημιουργήσουν την ευπάθεια ώστε να μπορούν να ξεκλειδώσουν στη συνέχεια τα δεδομένα όλων.

Πράγματι, οποιαδήποτε αποδυνάμωση της κρυπτογράφησης από άκρο σε άκρο το 2021 πιθανότατα θα προκαλέσει έντονο διάλογο μεταξύ μεγάλων τεχνολογικών παικτών, των ρυθμιστικών αρχών αλλά και των υπερασπιστών της ιδιωτικότητας.

Η ανάγκη για την προστασία των δεδομένων των ατόμων είναι πιο εμφανής από ποτέ, κυρίως λόγω μερικών αξιοσημείωτων υποθέσεων που έχουν λάβει έκταση τον τελευταίο χρόνο. Τώρα που το ευρύ κοινό έχει μεγαλύτερη επίγνωση αυτών των ζητημάτων, οι οργανισμοί θα πρέπει να πληρούν υψηλότερα πρότυπα ασφαλείας και να λαμβάνουν πιο ώριμα μέτρα.

Όλες αυτές οι αλλαγές θα μπορούσαν να κάνουν το 2021 ένα σημείο καμπής για την ασφάλεια των δεδομένων, ενώ η εφαρμογή των διαδικασιών προστασίας δεδομένων μπορεί να προκαλέσει κάποια αναστάτωση και σύγχυση στην αρχή. Ένα όμως είναι σίγουρο… ότι τελικά εντός του 2021 μπορεί να εδραιωθεί ένα ασφαλέστερο και πιο αξιόπιστο για όλους ψηφιακό τοπίο.

Top