Παραβιάσεις Δεδομένων

Παραβιάσεις δεδομένων και συνέπειες

Παραβιάσεις ΔεδομένωνΟι παραβιάσεις δεδομένων (data breaches) αυξάνονται ραγδαία και οι συνέπειες είναι ανησυχητικές. Σύμφωνα με μια πρόσφατη μελέτη του Check Point, ο αριθμός των κυβερνοεπιθέσεων εναντίον των επιχειρήσεων παγκοσμίως έχει αυξηθεί κατά 50% ετησίως. Από τη μελέτη προκύπτει ότι 925 κυβερνοεπιθέσεις αντιμετωπίζονται κάθε εβδομάδα παγκοσμίως.

Σε αντίθεση με την μικρή χρονική διάρκεια που απαιτεί μια παραβίαση δεδομένων, τόσο ο εντοπισμός της όσο η εκτίμηση της παραβίασης χρειάζονται πολύ περισσότερο χρόνο. Καθίσταται αναγκαίο στους οργανισμούς να κατανοούν πόσο επιζήμιες είναι οι παραβιάσεις δεδομένων.

Πόσο σοβαρή είναι μια παραβίαση δεδομένων;

Οι παραβιάσεις δεδομένων είναι αναμφίβολα σοβαρές. Μερικές από τις συνέπειες που απορρέουν, είναι η διαρροή ευαίσθητων δεδομένων, η κλοπή ταυτότητας, η απώλεια πνευματικής ιδιοκτησίας και φήμης. Οι παραβιάσεις δεδομένων έχουν σημαντικό αντίκτυπο στα προσωπικά δεδομένα.

Οι συνέπειες των παραβιάσεων

Οι παραβιάσεις δεδομένων έχουν ως αποτέλεσμα την απώλεια ευαίσθητων προσωπικών δεδομένων, όπως κωδικοί πρόσβασης, διευθύνσεις IP, διαπιστευτήρια σύνδεσης, βιομετρικά δεδομένα και άλλες πληροφορίες, που με την απώλειά τους δημιουργούν καταστροφικές συνέπειες.

Η  απώλεια βιομετρικών δεδομένων της Antheus Technologia

Χαρακτηριστικό παράδειγμα απώλειας δεδομένων αποτελεί, η Antheus Technologia, μια βιομετρική εταιρεία με εξειδίκευση στην ανάπτυξη συστημάτων αναγνώρισης δακτυλικών αποτυπωμάτων. Η Antheus Technologia αντιμετώπισε μια παραβίαση που αποκάλυψε 76.000 μοναδικά αρχεία δακτυλικών αποτυπωμάτων. Υπάρχουν 2,3 εκατομμύρια σημεία δεδομένων που μπορούν να αναδημιουργήσουν το αρχικό δακτυλικό αποτύπωμα χρησιμοποιώντας την τεχνική αντίστροφης μηχανικής. Τα βιομετρικά δεδομένα είναι πολύτιμα για τους εγκληματίες του κυβερνοχώρου.

Οι νομικές προεκτάσεις των παραβιάσεων

Οι οργανισμοί είναι νομικά υποχρεωμένοι να ακολουθούν τους κανονισμούς περί προστασίας προσωπικών δεδομένων, όπως ορίζει ο GDPR  και ο CCPA , για τη διατήρηση της προστασίας δεδομένων και του απορρήτου.

Σύμφωνα με τους κανονισμούς, οι οργανισμοί πρέπει να χρησιμοποιούν διαδικτυακά εργαλεία ασφάλειας, όπως το VPN για να διασφαλίσουν την ασφάλεια των δεδομένων και το απόρρητο. Εάν γίνει παραβίαση δεδομένων σε έναν οργανισμό, τα υποκείμενα των δεδομένων μπορούν να κινηθούν νομικά εναντίον του οργανισμού, επειδή δεν προστατεύθηκαν τα δεδομένα τους. Με αποτέλεσμα, οι οργανισμοί δύνανται να υποστούν βαριές ποινές και αγωγές που επηρεάζουν τη φήμη τους.

Συμβουλές για τον περιορισμό των κινδύνων παραβίασης δεδομένων
  • Βελτιώστε την ασφάλεια του οργανισμού εισάγοντας πολιτικές ασφαλείας, που συμβάλλουν στην ελαχιστοποίηση των κινδύνων.
  • Επενδύστε σε ένα πρόγραμμα ασφάλειας στον κυβερνοχώρο, καθώς βοηθά στην ανάκτηση των ζημιών που προκλήθηκαν κατά τη διάρκεια μιας παραβίασης.
  • Μην ξεχνάτε να εφαρμόζετε τις Βασικές Αρχές του GDPR, για την καλύτερη προστασία των δεδομένων.
  • Εάν οι εργαζόμενοι χρησιμοποιούν τις προσωπικές τους συσκευές για την εργασία τους, βεβαιωθείτε ότι χρησιμοποιούν λογισμικό κρυπτογράφησης όπως VPN ή λογισμικό προστασίας από ιούς.
  • Βεβαιωθείτε ότι οι εργαζόμενοι χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης σε όλους τους λογαριασμούς τους. Το 81% των παραβιάσεων δεδομένων ευθύνεται στη χρήση αδύναμων διαπιστευτηρίων.
  • Πραγματοποιείστε εκπαιδεύσεις στους εργαζόμενους, σχετικά με την προστασία των προσωπικών δεδομένων.
Συμπέρασμα

Οι οργανισμοί οφείλουν να λαμβάνουν τα απαραίτητα μέτρα, ώστε να αντιμετωπίσουν τις παραβιάσεις δεδομένων, που αυξάνονται ραγδαία.  Η δημιουργία πολιτικών ασφαλείας και η εκπαίδευση των εργαζομένων σχετικά με την προστασία δεδομένων είναι οι δύο καλύτεροι τρόποι για την πρόληψη παραβιάσεων δεδομένων.

 

Πηγές:

Biometric Update.com: Biometrics company allegedly leaves unhashed fingerprint data of thousands exposed to internet/ Διαθέσιμο εδώ.

Check Point: Check Point Research: Cyber Attacks Increased 50% Year over Year/ Διαθέσιμο εδώ.

Info-security: Reducing the Risk of Severe Data Breaches/  Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

 

ιδιωτικότητα και φωνητικά δεδομένα

Ιδιωτικότητα και Φωνητικά Δεδομένα

ιδιωτικότητα και φωνητικά δεδομένα

Η ιδιωτικότητα (privacy) και τα φωνητικά δεδομένα (voice data) απασχολούν ιδιαίτερα τον επιχειρηματικό τομέα. Η είσοδος των προϊόντων με φωνητική υποστήριξη τόσο σε οικιακούς όσο σε εργασιακούς χώρους έχει οδηγήσει σε νέα μονοπάτια. Αυτή η καινοτομία μπορεί να διευκολύνει την καθημερινότητά μας, ωστόσο δημιουργούνται καίρια ζητήματα. Το βασικότερο είναι η επιρροή που ασκείται στην ιδιωτικότητά από αυτή την καινοτομία. Ένα άλλο ζήτημα είναι η συλλογή φωνητικών δεδομένων που τροφοδοτεί το στοχευμένο μάρκετινγκ. Πηγή πληροφοριών αποτελούν οι ηχογραφήσεις που καταγράφονται από τα συγκεκριμένα προϊόντα. Επομένως, διαπιστώνεται κίνδυνος παραβίασης της ιδιωτικότητας του ατόμου.

Η άποψη του Marc Rotenberg

Η τεχνολογία για τα προϊόντα με φωνητική υποστήριξη αναπτύχθηκε ραγδαία την τελευταία δεκαετία, με σημείο αναφοράς την κυκλοφορία της Siri ως χαρακτηριστική λειτουργία του iPhone από την Apple. Τρία χρόνια αργότερα, η Amazon κυκλοφόρησε την Alexa. Μια φωνητική βοηθό που μπορούσε να εκτελέσει τραγούδια ή να αναζητήσει ότι της έχει ζητηθεί. Αμέσως μετά, η Google κυκλοφόρησε το Google Assistant, μια λειτουργία αναγνώρισης φωνής διαθέσιμη στις συσκευές Android και Google Home.

Ο ιδρυτής και διευθυντής του μη κερδοσκοπικού Κέντρου Τεχνητής Νοημοσύνης και Ψηφιακής Πολιτικής (Non – Profit Center for AI and Digital Policy), Marc Rotenberg, δήλωσε στο ABC News «Τα προϊόντα με φωνητική υποστήριξη είναι ένα ιδιαίτερο ζήτημα, καθώς όλο και περισσότεροι άνθρωποι χρησιμοποιούν συσκευές που ενεργοποιούνται με φωνητικές εντολές όπως είναι η Alexa και η Siri». Ακόμη, χαρακτήρισε την συλλογή φωνητικών δεδομένων «ωρολογιακή βόμβα».

Απάτη υψηλής τεχνολογίας με τη χρήση φωνητικών δεδομένων

Σύμφωνα με δημοσίευση της ιστοσελίδας Forbes, πραγματοποιήθηκε απάτη υψηλής τεχνολογίας με την τεχνική «deep voice» (αντιγραφή φωνής).  Εγκληματίες του κυβερνοχώρου κλωνοποίησαν τα φωνητικά δεδομένα ενός Διευθυντή εταιρείας στα Ηνωμένα Αραβικά Εμιράτα και κατάφεραν να αποσπάσουν το ποσό των 35.000.000 δολαρίων από τράπεζα του Χονγκ Κονγκ. Η έγκριση μεταφοράς του ποσού έγινε από την τράπεζα του Χονγκ Κονγκ χωρίς να αντιληφθεί την περίτεχνη απάτη. Διαπιστώνεται ότι η εγκληματική χρήση της τεχνολογίας μπορεί να αποτελέσει απειλή της ιδιωτικότητας, της οικονομίας και της επιχειρηματικότητας.

Η επιστημονική έρευνα της Global Market Insights

Σύμφωνα με την εταιρεία έρευνας Global Market Insights, η παγκόσμια αγορά αναγνώρισης φωνής ξεπέρασε τα 3,5 δισεκατομμύρια δολάρια το 2021 και αναμένεται να φτάσει τα 10 δισεκατομμύρια δολάρια μέχρι το 2028. Η ανάπτυξη της τεχνολογίας προσελκύει τις επιχειρήσεις , καθώς επιθυμούν να εξερευνήσουν τις δυνατότητες που προσφέρει η χρήση φωνητικών δεδομένων. Ωστόσο, ακόμη και οι φαινομενικά αβλαβείς χρήσεις της τεχνολογίας με φωνητική υποστήριξη μπορούν να προκαλέσουν ανησυχίες σχετικά με την ιδιωτικότητα.

Οι ανησυχίες για την ιδιωτικότητα και τα φωνητικά δεδομένα

Ανησυχίες δημιουργούνται για τα προϊόντα με φωνητική υποστήριξη, καθώς φαίνεται πως οι εταιρείες συγκεντρώνουν μεγαλύτερο όγκο ευαίσθητων δεδομένων από ό,τι οι χρήστες μπορούν να αντιληφθούν. Με αυτόν τον  τρόπο επιτρέπουν στις εταιρείες να επωφεληθούν δεδομένα από τις συνομιλίες που πραγματοποιούνται στον οικιακό ή εργασιακό χώρο, παραβιάζοντας τις βασικές αρχές του GDPR.

Η φωνή ενός καταναλωτή θα μπορούσε να χρησιμοποιηθεί για να αποκαλύψει μια πληθώρα προσωπικών δεδομένων, όπως ύψος, βάρος, εθνικότητα, χαρακτηριστικά προσωπικότητας και δεδομένα υγείας. Επομένως, η ακαταλόγιστη χρήση φωνητικών δεδομένων προς όφελος των επιχειρήσεων οδηγεί στην αναπόφευκτη παραβίαση της ιδιωτικότητας.

 


Πηγές:

ABC news/ Collection of voice data for profit raises privacy fears/ διαθέσιμο εδώ.

Forbes/Fraudsters Cloned Company Director’s Voice In $35 Million Bank Heist, Police Find/ Διαθέσιμο εδώ.

IAPP/ Use of voice collection data for marketing puts individuals’ privacy at risk/ διαθέσιμο εδώ.

Global Market Insights/Voice Recognition Market Size By Deployment Model (Cloud, On-Premise), By Technology (AI-Based, Non-AI Based), By End-Use (Aerospace, Automotive, BFSI, Consumer Electronics, Government & Defense, Healthcare), COVID-19 Impact Analysis, Regional Outlook, Growth Potential, Competitive Market Share & Forecast, 2022 – 2028/ διαθέσιμό εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

Ο ΔΡΟΜΟΣ ΓΙΑ ΤΗ ΣΥΜΦΩΝΙΑ ΑΠΟΡΡΗΤΟΥ ΤΟΥ ΟΟΣΑ

Η συμφωνία για τη διασυνοριακή διαβίβαση προσωπικών δεδομένων

Η δυνατότητα ασφαλών διασυνοριακών διαβιβάσεων δεδομένων κρίνεται απαραίτητη κατά την ψηφιακή εποχή για την εξυπηρέτηση της σύγχρονης κοινωνίας, ωστόσο προς αποφυγή παραβιάσεων απορρήτου επιβάλλεται η δημιουργία «κοινών αρχών – πεποιθήσεων». Πρόσφατα, ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) και η Ευρωπαϊκή Ένωση (ΕΕ) υπέγραψαν μια συμφωνία για την προστασία της ιδιωτικής ζωής με στόχο τη βελτίωση της διαφάνειας κατά την πρόσβαση των κυβερνήσεων σε Προσωπικά Δεδομένα που κατέχουν οι ιδιωτικές εταιρείες.

Η συμφωνία απορρήτου βασίζεται σε μία σειρά «κοινών αρχών – πεποιθήσεων». Οι αρχές της συμφωνίας απορρήτου απαιτούν επίσης τη διαχείριση δεδομένων μόνο από εξουσιοδοτημένο και ειδικευμένο προσωπικό, τη σύσταση καλά χρηματοδοτούμενων εποπτικών φορέων χωρίς παρεμβολές, καθώς και διαδικασίες δικαστικής και μη δικαστικής προσφυγής για τα υποκείμενα των δεδομένων.

Ενδεικτικά κράτη – μέλη του ΟΟΣΑ είναι μεταξύ άλλων οι Ηνωμένες Πολιτείες, ο Καναδάς, η Αυστραλία, η Νέα Ζηλανδία, η Ιαπωνία, η Κορέα και το Μεξικό, ενώ ορισμένες από αυτές τις χώρες έχουν περιορισμένη ή δεν έχουν καθόλου νομοθεσία περί απορρήτου δεδομένων σε εθνικό ή ομοσπονδιακό επίπεδο. Με τη συμμετοχή της ΕΕ, ο ΟΟΣΑ αντιπροσωπεύει την πρώτη ευρεία διακυβερνητική συμφωνία απορρήτου για την θεμελίωση της ισότητας σχετικά με την προστασία των δεδομένων.

Το ζήτημα της διεθνούς διαβίβασης δεδομένων

Το ζήτημα της διεθνούς διαβίβασης δεδομένων είναι η πρόσβαση των κυβερνήσεων στα προσωπικά δεδομένα αλλοδαπών πολιτών. Η εν λόγω συμφωνία απορρήτου του ΟΟΣΑ απορρίπτει προσεγγίσεις που δεν συνάδουν με τις δημοκρατικές αξίες και το κράτος δικαίου και καλεί τα μέλη να διασφαλίσουν τις κοινές αξίες. Επιπλέον, αποτελεί μία αναβάθμιση σε σύσταση του ΟΟΣΑ που είχε τεθεί σε εφαρμογή το 1980, σχετικά με τη πρόσβαση στο Διαδίκτυο και μία βάση για τη δημιουργία σχέσεων διαβίβασης δεδομένων.

Η συμφωνία απορρήτου έχει συναφθεί εν μέσω παρατεταμένης αβεβαιότητας σχετικά με το πώς θα λειτουργήσουν οι διεθνείς μελλοντικές διαβιβάσεις δεδομένων, ώστε να είναι σύμφωνες με τις αυστηρές απαιτήσεις της ΕΕ. Οι ΗΠΑ βρίσκονται στη προσπάθεια επεξεργασίας ενός νέου πλαισίου διαβίβασης για να αντικαταστήσει αυτό που εξαλείφθηκε από το Schrems II. Ο δυτικός κόσμος έχει ανταποκριθεί διαφορετικά όσον αφορά τα μέτρα προστασίας δεδομένων και πολλοί αρνούνται να εγκαταλείψουν την πρόσβαση των κυβερνήσεων στις ροές δεδομένων, ωστόσο υπάρχει επίγνωση ότι αυτή η απείθεια στους νόμους και η αντίληψη της εκτεταμένης ξένης επιτήρησης δημιουργεί κίνδυνο σοβαρών αρνητικών οικονομικών επιπτώσεων .

Παρά τις θετικές προοπτικές της συμφωνίας δεν έχουν επιλυθεί όλα τα ζητήματα, καθώς ορισμένοι από τους υπογράφοντες της συμφωνίας είχαν πρόσφατα προβλήματα με την παρακολούθηση κυβερνήσεων που αποτελούν σαφείς παραβιάσεις των «κοινών αρχών». Χαρακτηριστικό παράδειγμα αποτελεί το Μεξικό, το οποίο ήταν από τους πρώτους  που χρησιμοποίησε το λογισμικό κατασκοπείας Pegasus, με αρχικό σκοπό την παρακολούθηση εμπόρων ναρκωτικών. Η Τουρκία έχει επίσης αντιμετωπίσει βαριά διεθνή κριτική σχετικά με τους νόμους της για τα μέσα ενημέρωσης και τη στόχευση δημοσιογράφων.

Η άποψη του David Maynor

Παραμένει επίσης ασαφές εάν η εν λόγω συμφωνία θα ενισχύσει ορισμένα από τα Κράτη-Μέλη  που δεν θεωρούνται ασφαλείς διαβιβαστές δεδομένων σύμφωνα με τη νομοθεσία της ΕΕ. Ο David Maynor, διευθυντής της Threat Intelligence – Cybrary, πιστεύει ότι «Υπάρχει άφθονη διασυνοριακή ροή δεδομένων. Αυτή η συμφωνία κάνει όλα τα τυπικά λάθη της εστίασης σε θεωρητικά ή ακαδημαϊκά ζητήματα αντί να αντιμετωπίζει τις καθημερινές δυσκολίες της προστασίας δεδομένων. Μια συμφωνία θα πρέπει επίσης να περιλαμβάνει διατάξεις για τη σωστή συνεχή εκπαίδευση, για την εκπαίδευση στην ασφάλεια στον κυβερνοχώρο για όσους εμπλέκονται στον χειρισμό δεδομένων».

Εν κατακλείδι, σε κάθε περίπτωση η υπό συζήτηση συμφωνία δεν δημιουργεί κανενός είδους επίσημο πλαίσιο ούτε επιφέρει άμεση αλλαγή στις πρακτικές επεξεργασίας δεδομένων από οποιουδήποτε κράτος μέλος, αλλά δημιουργεί μια συμφωνία επί της αρχής που μπορεί να χρησιμοποιηθεί ως βάση για τη δημιουργία σχέσεων κατά την επεξεργασία των δεδομένων των υποκειμένων με ένα κοινό νομοθετικό καθεστώς θωράκισης των δικαιωμάτων τους.

ΜΠΟΡΕΙ ΤΟ ΠΑΓΚΟΣΜΙΟ ΚΥΠΕΛΛΟ 2022 ΝΑ ΟΔΗΓΗΣΕΙ ΣΕ ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ;

Το Παγκόσμιο Κύπελλο 2022 αποτελεί μία ιστορική στιγμή στη πορεία της διοργάνωσης, καθώς είναι η πρώτη φορά που οι αγώνες της θα διεξαχθούν στη Μέση Ανατολή και ιδίως κατά την χειμερινή περίοδο. Υπολογίζεται πως περίπου 1,5 εκατομμύριο επισκέπτες θα ταξιδέψουν για το Παγκόσμιο Κύπελλο, το οποίο θα διαρκέσει από τις 20 Νοεμβρίου μέχρι τις 18 Δεκεμβρίου. Ωστόσο, ανησυχίες έχουν προκαλέσει οι εφαρμογές που υποχρεούνται να κατεβάσουν οι επισκέπτες στα κινητά τους τηλέφωνα. Τόσο η πολιτική απορρήτου που ακολουθούν όσο και η ευρεία συλλογή προσωπικών δεδομένων των χρηστών τους έχουν προβληματίσει τις Ευρωπαϊκές ρυθμιστικές αρχές.

Συγκεκριμένα, οι αρχές του Κατάρ υποχρεώνουν όσους επισκεφθούν τη χώρα το διάστημα αυτό, να κατεβάσουν στα κινητά τους τηλέφωνα τις εφαρμογές  “Official World Cup app Hayya” και “Covid – tracking app Etheraz” για την ενημέρωση τους σχετικά με τα εισιτήρια των αγώνων, τη δωρεάν πρόσβαση σε μετρό και την ιχνηλάτηση επιβεβαιωμένων κρουσμάτων Covid-19 και των στενών επαφών τους.

Η υποχρεωτική εγκατάσταση αυτών των εφαρμογών στα κινητά τηλέφωνα των επισκεπτών έχει προκαλέσει ποικίλες αντιδράσεις, αφού αδιαμφισβήτητα οι αρχές του Κατάρ ενδέχεται να αποκτήσουν απεριόριστη πρόσβαση τόσο στα προσωπικά δεδομένα όσο και στην τοποθεσία των επισκεπτών. Μάλιστα, οι ειδικοί υποστηρίζουν πώς, αποδεχόμενοι τους όρους χρήσης τους και την Πολιτική Απορρήτου, οι επισκέπτες φαίνεται να παραδίδουν ουσιαστικά όλες τις πληροφορίες των συσκευών τους. Κάνουν επιπλέον λόγο για μία μορφή κατασκοπίας από τις τοπικές αρχές, καθώς με την αποδοχή των όρων αυτών, αυτές θα αποκτήσουν πρόσβαση στα δεδομένα των χρηστών και θα έχουν τη δυνατότητα να διαβάσουν, να διαγράψουν, ακόμα και να αλλάξουν κάποιο περιεχόμενο.

Άλλωστε, σύμφωνα με τη Γαλλική Αρχή Προστασίας Δεδομένων (CNIL), το Κατάρ συγκαταλέγεται στις χώρες με μη επαρκές επίπεδο διαβίβασης δεδομένων. Για αυτό τον λόγο, η CNIL προτείνει στους επισκέπτες να μην κάνουν χρήση των προσωπικών τηλέφωνων τους, αλλά να χρησιμοποιήσουν είτε ένα «κενό» τηλέφωνο είτε ένα παλαιό τηλέφωνο, στο οποίο θα έχει γίνει επαναφορά εργοστασιακών ρυθμίσεων (reset). Η πρόταση αυτή ενθαρρύνεται και από ειδικούς στην ασφάλεια πληροφοριακών συστημάτων, όπως για παράδειγμα από τον υπεύθυνο ασφαλείας του νορβηγικού ραδιοτηλεοπτικού σταθμού NRK, Øyvind Vasaasen. Προς υποστήριξη του ισχυρισμού του σχετικά με την ακαταλληλότητα των εφαρμογών, ο ραδιοτηλεοπτικός σταθμός NRK ζήτησε από δύο ανεξάρτητες εταιρείες παροχής υπηρεσιών συστημάτων ασφαλείας, την Bouvet και την Mnemonic, να  ελέγξουν τις εφαρμογές. Από την πλευρά της Bouvet, υποστηρίζεται ότι η εφαρμογή παρακολουθεί τόσο τη τοποθεσία του χρήστη όσο και των γύρω του, ενώ η Mnemonic τονίζει πως θα υπάρξει σημαντικός αντίκτυπος σε περίπτωση διαρροής των δεδομένων των χρηστών. Ωστόσο, η τεχνική ανάλυση της Mnemonic δεν εντόπισε ενδείξεις που να επιβεβαιώνουν ότι οι Αρχές του Κατάρ μπορούν να παρέμβουν στο περιεχόμενο των συσκευών των χρηστών, παρόλα αυτά μπορεί να μην έχουν προβεί στη διαδικασία αυτή μέχρι στιγμής.

Από την κριτική που έχει ασκηθεί σχετικά με τις συγκεκριμένες εφαρμογές, συμπεραίνεται ότι  σε κάθε περίπτωση αυτές είναι εξαιρετικά παρεμβατικές ως προς την ελεύθερη συγκατάθεση των επισκεπτών του Παγκοσμίου Κυπέλλου ως υποκειμένων των δεδομένων, υπάρχει η δυνατότητα ευρείας πρόσβασης στη λειτουργικότητα των τηλεφώνων, ενώ παράλληλα παραβιάζεται η αρχή ελαχιστοποίησης των δεδομένων. Όπως επισημαίνει και  η εφημερίδα Register «Οι εφαρμογές του Παγκόσμιου Κυπέλλου αποτελούν έναν εφιάλτη για το απόρρητο και την ασφάλεια των δεδομένων».

Instagram: Πρόστιμο 405 εκ. Ευρώ για παραβίαση της ιδιωτικότητας παιδιών

Η Αρχή Προστασίας Δεδομένων της Ιρλανδίας επέβαλε πρόστιμο 405 εκατομμυρίων Ευρώ στο Instagram για παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ ή “GDPR”), οι οποίες επήλθαν ως αποτέλεσμα λάθος χειρισμών των δεδομένων των παιδιών από το Instagram, συμπεριλαμβανομένης μίας δημοσίευσης με διευθύνσεις email και αριθμούς τηλεφώνων παιδιών, σύμφωνα με την Politico.

«Λάβαμε την τελική μας απόφαση την περασμένη Παρασκευή και μέσω αυτής επιβάλλεται πρόστιμο 405 εκατομμυρίων Ευρώ», δήλωσε στην Washington Post ο Graham Doyle, αναπληρωτής Επίτροπος της Ιρλανδικής Αρχής Προστασίας Δεδομένων, προσθέτοντας ότι οι πλήρεις λεπτομέρειες θα ανακοινωθούν την επόμενη εβδομάδα.

Η απόφαση της Ιρλανδικής Αρχής ήταν αποτέλεσμα διετούς έρευνας στους επιχειρηματικούς λογαριασμούς του Instagram, τους λεγόμενους “business accounts”, οι οποίοι παρέχουν στους χρήστες δυνατότητες προηγμένων μετρήσεων για την παρακολούθηση προβολών και likes ενός προφίλ και που πριν το 2019 ήταν επιρρεπείς στη δημοσίευση αριθμών τηλεφώνου και διευθύνσεων email των χρηστών υπό προεπιλεγμένες ρυθμίσεις. Διευκρινίζεται ότι η ελάχιστη ηλικία για τη χρήση του Instagram είναι τα 13 έτη.

Αυτό είναι το δεύτερο υψηλότερο πρόστιμο που επιβάλλεται βάσει του GDPR μετά από αυτό των 746 εκατομμυρίων Ευρώ κατά της Amazon. Αποτελεί επίσης το τρίτο πρόστιμο που επιβάλλεται στο Instagram από την ιρλανδική εποπτική αρχή, ενώ είναι και το υψηλότερο πρόστιμο που έχει επιβληθεί σε εταιρεία που ανήκει στην Meta, μετά από αυτό των 225 εκατομμυρίων Ευρώ στην  WhatsApp και το πρόστιμο των 17 εκατομμυρίων Ευρώ στο Facebook.

«Αυτή η έρευνα επικεντρώθηκε σε παλιές ρυθμίσεις, τις οποίες ενημερώσαμε πριν από περισσότερο από ένα χρόνο και έκτοτε έχουμε κυκλοφορήσει πολλές νέες δυνατότητες για να βοηθήσουμε τους εφήβους να παραμένουν ασφαλείς και οι πληροφορίες τους ιδιωτικές», ανέφερε σε δήλωσή του εκπρόσωπος της Meta, προσθέτοντας ότι η εταιρεία εξετάζει προσεκτικά την απόφαση καθώς και το ενδεχόμενο έφεσης κατά αυτής. «Συνεργαζόμαστε πλήρως με την Ιρλανδική Αρχή καθ’ όλη τη διάρκεια της έρευνάς τους και εξετάζουμε προσεκτικά την τελική απόφασή τους».

Η Ιρλανδική ρυθμιστική Αρχή επέβαλε το πρόστιμο αφού χρειάστηκε να ενεργοποιήσει τον μηχανισμό επίλυσης διαφορών σχετικά με τη συμβολή άλλων ευρωπαϊκών αρχών προστασίας δεδομένων σχετικά με το πρόστιμο.

Τέλος, αξίζει να αναφερθεί ότι η Ιρλανδική Αρχή διεξάγει επί του παρόντος τουλάχιστον έξι ακόμη έρευνες σε εταιρείες που ανήκουν στη Meta, αφού υπό την εποπτεία της Αρχής τελεί ένας μεγάλος αριθμός πολυεθνικών τεχνολογικών κολοσσών, συμπεριλαμβανομένων της Apple, Google, Meta και άλλων εταιρειών που έχουν την E.U. έδρα στην Ιρλανδία.

ΠΡΟΣΤΙΜΟ-ΜΑΜΟΥΘ ΣΤΗΝ TWITTER ΓΙΑ ΠΑΡΑΝΟΜΗ ΠΩΛΗΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΧΡΗΣΤΩΝ

Είναι γεγονός πως το ύψος των προστίμων που απορρέουν από παραβιάσεις προσωπικών δεδομένων αυξάνεται με μαθηματική ακρίβεια με το πέρας του χρόνου και την ενδυνάμωση των νομοθεσίων προστασίας των δεδομένων. Η αμερικάνικη εταιρεία-κολοσσός Twitter αποτελεί τον τελευταίο θύτη, καθώς σε αυτή επεβλήθη από την Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) των ΗΠΑ και το αμερικανικό Υπουργείο Δικαιοσύνης πρόστιμο ύψους 150 εκατομμυρίων δολαρίων για παράνομη πώληση των προσωπικών δεδομένων χρηστών σε διαφημιζόμενες εταιρείες. Ωστόσο, η εξέλιξη αυτή δεν θα έπρεπε να  δημιουργεί ερωτήματα, δεδομένου ότι τα έσοδα του Twitter βασίζονται σε συντριπτικό ποσοστό στις διαφημίσεις που προβάλλονται στην πλατφόρμα.

Πιο συγκεκριμένα, η Επιτροπή κατηγόρησε το Twitter για πώληση αριθμών τηλεφώνων και διευθύνσεων emails 140 εκατομμυρίων χρηστών σε διαφημιζόμενες στην πλατφόρμα εταιρείες. Το ζήτημα ξεκινάει μάλιστα από το 2013 όταν το Twitter ξεκίνησε να ζητά τα τηλέφωνα και άλλα προσωπικά δεδομένα των χρηστών με τη δικαιολογία ότι είναι απαραίτητα για τη διασφάλιση της ασφάλειας των λογαριασμών τους και ότι τα δεδομένα αυτά θα είναι προστατευμένα από οποιονδήποτε τρίτο. Ωστόσο, η αμερικάνικη εταιρεία παρέλειψε να ενημερώσει τα υποκείμενα πως τα προσωπικά τους δεδομένα θα χρησιμοποιούνταν και για διαφημιστικούς σκοπούς. Πρόκειται συνεπώς για άμεση παραβίαση του και των δεσμεύσεων της Twitter, στην οποία με διοικητική εντολή της Επιτροπής FTC το 2011, απαγορεύτηκε στην εταιρεία να παραποιεί τις πρακτικές ασφαλείας και απορρήτου της και να επωφελείται από δεδομένα που συλλέγονται παραπλανητικά από τους χρήστες. Έλαβε χώρα έτσι παράνομη επεξεργασία προσωπικών δεδομένων των χρηστών του Twitter, καθώς δεν ενημερώθηκαν επαρκώς για τους σκοπούς της επικείμενης επεξεργασίας και δεν στοιχειοθετήθηκε η απαιτούμενη νομική βάση.

Μάλιστα, ο επικεφαλής υπεύθυνος ασφάλειας προσωπικών δεδομένων του Twitter, Damien Kieran, αναγνώρισε σε μια ανάρτηση σε σχετικό blog ότι τα προσωπικά στοιχεία των χρηστών «μπορεί να έχουν χρησιμοποιηθεί κατά λάθος για διαφήμιση». Δήλωσε ωστόσο ότι η εταιρεία δεν πουλά πλέον σε διαφημιστές πληροφορίες που συλλέγονται για λόγους ασφαλείας.

«Αν λέτε στους ανθρώπους ότι χρησιμοποιείτε τους αριθμούς τηλεφώνου τους για να προστατεύσετε τους λογαριασμούς τους και στη συνέχεια τους χρησιμοποιείτε για άλλους σκοπούς, τους εξαπατάτε και παραβιάζετε το νόμο», δήλωσε ο Sam Levine, επικεφαλής του Γραφείου Καταναλωτών της FTC σε σχετική συνέντευξη.

Αξίζει τέλος να αναφερθεί οτι η Επιτροπή Κεφαλαιοαγοράς των ΗΠΑ (SEC) είχε αποστείλει επιστολή στον δισεκατομμυριούχο Ελον Μασκ όταν ανακοίνωσε ότι απέκτησε το 9,2% των μετοχών του Twitter, ζητώντας εξηγήσεις γιατί υπέβαλε το σχετικό έγγραφο στην SEC με καθυστέρηση πολλών ημερών και εκτός των ορίων που ορίζονται από τον νόμο, αφού κάτι τέτοιο ενδεχομένως να σχετιζόταν με τη μόχλευση των τιμών των μετοχών. Ο Έλον Μασκ έχει επικρίνει το επιχειρηματικό μοντέλο της πλατφόρμας που βασίζεται ολοκληρωτικά στις διαφημίσεις, ενώ δεσμεύτηκε να διαφοροποιήσει τις πηγές εσόδων του.

Η ΠΡΟΣΤΑΣΙΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΣΤΟΝ ΝΕΟ ΚΟΣΜΟ ΤΟΥ METAVERSE

Από τη δεκαετία του 1990 όταν και διαδόθηκε ευρέως το Internet, ο κυβερνοχώρος συνεχίζει να εξελίσσεται με εκπληκτικούς ρυθμούς. Έχουν δημιουργηθεί πλείστα εικονικά περιβάλλοντα που απαιτούν τη διαμεσολάβηση υπολογιστή για να λειτουργήσουν, όπως για παράδειγμα τα μέσα κοινωνικής δικτύωσης, τα λεγόμενα NFTs, αλλά και οι τεχνολογίες εκτεταμένης πραγματικότητας (extended reality), οι οποίες περιλαμβάνουν την εικονική πραγματικότητα (VR) και την επαυξημένη πραγματικότητα (AR). Όλα αυτά τα ψηφιακά περιβάλλοντα, αν και ασύνδετα συνήθως μεταξύ τους, έχουν οδηγήσει σε ραγδαίο ψηφιακό μετασχηματισμό, μέρος του οποίου αποτελεί πλέον και το “Metaverse”, ένας όρος που επινοήθηκε για να διευκολύνει περαιτέρω την ψηφιακή αλλαγή σε κάθε πτυχή της καθημερινότητας των ανθρώπων.

Αλλά, τι είναι το Metaverse;

Το Metaverse είναι ένα δίκτυο τρισδιάστατων, εικονικών κόσμων που στοχεύουν στην κοινωνική σύνδεση των ανθρώπων. Αποτελεί το επόμενο στάδιο ανάπτυξης του διαδικτύου, αφού λογίζεται ως μία τρισδιάστατη έκδοσή του, η αξιοποίηση του οποίου διευκολύνεται από τη χρήση γυαλιών και ακουστικών (headsets) εικονικής και επαυξημένης πραγματικότητας ή κατάλληλα τοποθετημένων αισθητήρων στον χώρο.

Μολονότι ο όρος έχει γίνει ευρέως γνωστός τα τελευταία χρόνια, η λέξη “metaverse” επινοήθηκε στην πραγματικότητα από τον συγγραφέα Neal Stephenson στο μυθιστόρημα επιστημονικής φαντασίας “Snow Crash” του 1992. Στο βιβλίο του, ο Stephenson αναφέρεται στο metaverse ως ένα ολοκληρωμένο ψηφιακό κόσμο που υπάρχει παράλληλα με τον πραγματικό κόσμο. Στο Metaverse του σήμερα, η φυσική πραγματικότητα συγχωνεύεται με τον ψηφιακό κόσμο, όπου τεχνολογίες που επιτρέπουν πολυαισθητηριακές αλληλεπιδράσεις συγκλίνουν με τα εικονικά περιβάλλοντα και τα αντικείμενα, δημιουργώντας εξατομικευμένους ψηφιακούς χαρακτήρες, τα «άβαταρ». Μέσω αυτών των άβαταρ οι χρήστες έχουν τη δυνατότητα να γνωρίζουν φίλους, να συνεργάζονται με συναδέλφους, να παίξουν παιχνίδια, ακόμη και να πάνε για ψώνια.

Αν και το metaverse βρίσκεται ακόμη στα πρώτα στάδια ανάπτυξής τους, πολλοί είναι αυτοί που ισχυρίζονται ότι το Metaverse θα είναι το μέλλον του διαδικτύου και επομένως της καθημερινότητας των ανθρώπων. Με τις Big Tech Εταιρείες να έχουν ήδη επενδύσει σε μεγάλο βαθμό σε αυτές τις τεχνολογίες, ο ρυθμός ανάπτυξής τους αυξάνεται συνεχώς. Το headset εικονικής πραγματικότητας “Oculus Quest” της Meta (πρώην Facebook) αποτέλεσε ήδη ένα από τα πιο δημοφιλή χριστουγεννιάτικα δώρα στις ΗΠΑ το 2021. Δημοφιλείς εταιρείες, όπως η Nike, έχουν ήδη αγοράσει ακίνητα σε πλατφόρμες εικονικής πραγματικότητας, ενώ καλλιτέχνες, όπως η Ariana Grande, πραγματοποιούν συναυλίες μέσα στο metaverse ως άβαταρ, που αλληλοεπιδρούν με άλλα σε πραγματικό χρόνο.

Εκτός όμως από τα παραπάνω, το Metaverse περιλαμβάνει επίσης μια έκρηξη πληροφοριών. Ο όγκος των προσωπικών δεδομένων που συλλέγονται από τους χρήστες είναι τεράστιος, κι έτσι, αναπόφευκτα εμφανίζονται σημαντικά ζητήματα προστασίας της ιδιωτικότητας και των δικαιωμάτων των χρηστών.

Προστασία προσωπικών δεδομένων σε περιβάλλον εικονικής πραγματικότητας

Τα συστήματα εικονικής πραγματικότητας λειτουργούν καταγράφοντας εκτεταμένα βιομετρικά δεδομένα για το σώμα ενός χρήστη, συμπεριλαμβανομένων βιολογικών δεδομένων όπως η ταχύτητα της κίνησης των ματιών, η θερμοκρασία του σώματός του, αλλά και οι αυθόρμητες αντιδράσεις του σε ερεθίσματα. Μάλιστα, σύμφωνα με μία έρευνα,  περνώντας μόλις 20 λεπτά σε έναν προσομοιωτή εικονικής πραγματικότητας, καταγράφονται σχεδόν δύο εκατομμύρια μοναδικές εγγραφές της γλώσσας του σώματος. Επιπλέον, μία άλλη έρευνα συμπεραίνει πως μόλις πέντε λεπτά σε έναν τέτοιο προσομοιωτή, έχοντας αποκρύψει πλήρως όλα τα προσωπικά αναγνωριστικά του χρήστη, αρκούν για να ταυτοποιηθεί με ακρίβεια 95%, με την αξιοποίηση αλγορίθμων μηχανικής μάθησης.

Η συλλογή τέτοιου όγκου δεδομένων ίσως μπορεί να οδηγήσει σε βιομετρική καταγραφή των ανθρώπων με επακόλουθη συνέπεια την αποκάλυψη πληροφοριών για τις προτιμήσεις τους και τα ενδιαφέροντά τους. Κι αυτό διότι στις εμπειρίες της εικονικής πραγματικότητας δεν αποτυπώνονται μόνο οι εξωτερικές συμπεριφορές του χρήστη, αλλά και οι συναισθηματικές του διακυμάνσεις ή αντιδράσεις σε συγκεκριμένες καταστάσεις, με την καταγραφή για παράδειγμα της διαστολής της κόρης των ματιών ή της αλλαγής στις εκφράσεις του προσώπου του. Εάν για παράδειγμα ένας χρήστης αντικρίσει σε ένα περιβάλλον εικονικής πραγματικότητας ένα λαμπερό κόκκινο αυτοκίνητο, η συναισθηματική απόκρισή του μπορεί εύκολα να αναλυθεί, να καταγραφεί και να παρακολουθηθεί, ακόμα και σε πραγματικό χρόνο. Η διαστολή της κόρης του θα μπορούσε να αποτυπώσει τον ενθουσιασμό που νιώθει ο χρήστης βλέποντας το αυτοκίνητο και οι γαλβανικές αποκρίσεις του δέρματος θα μπορούσαν να αποτυπώσουν την ένταση των συναισθημάτων του. Στο βαθμό μάλιστα που αυτά τα προσωπικά δεδομένα χρησιμοποιούνται από τους παράγοντες του Metaverse για να αξιολογήσουν τον χρήστη ή για να λάβουν αποφάσεις σχετικά με αυτόν, τότε θεωρούνται προσωπικά δεδομένα ειδικών κατηγοριών σύμφωνα με τον GDPR και οι εγγυήσεις για την προστασία τους θα πρέπει να είναι αυξημένες.

Η πρόσβαση σε τέτοια δεδομένα μπορεί να οδηγήσει σε εξαιρετικά αδιαφανείς και παρεμβατικούς τρόπους κατάρτισης προφίλ των φυσικών προσώπων, σε εκτεταμένη κατηγοριοποίησή τους, ακόμη και σε στόχευση προσώπων με βάση τα καταγεγραμμένα χαρακτηριστικά τους. Υπάρχουν ήδη αρκετές περιπτώσεις λήψης αποφάσεων βάσει τέτοιων πρακτικών και αλγοριθμικών συστημάτων.

Επιπρόσθετα, στο Metaverse, ο καθορισμός της οντότητας ή των οντοτήτων που θα έχουν την ευθύνη για τον προσδιορισμό των προσωπικών δεδομένων που θα υποβληθούν σε επεξεργασία και τον σκοπό επεξεργασίας (Υπεύθυνος Επεξεργασίας των δεδομένων), σίγουρα είναι μία δύσκολη απόφαση, αφού πιθανώς να περιλαμβάνει τον καθορισμό συγκεκριμένων ρόλων μέσω σε έναν περίπλοκο ιστό σχέσεων χωρίς προφανείς αρμοδιότητες.

Η δημιουργία των άβαταρ

Κάθε φορά που ένας χρήστης εισέρχεται στο metaverse, δημιουργεί το άβαταρ του. Για να «ζήσει» όμως και να «συνυπάρξει» αυτό με τα υπόλοιπα στοιχεία του metaverse, αλλά και για να εκτελέσει τις επιθυμητές δραστηριότητες, απαιτείται η κοινή χρήση και η έκθεση όλο και περισσότερων δεδομένων του χρήστη με τις εταιρείες τεχνολογίας που έχουν δημιουργήσει το εκάστοτε εικονικό περιβάλλον. Οι εταιρείες αυτές είναι σε θέση να αξιοποιήσουν εύκολα αυτά τα δεδομένα για να εξορθολογήσουν και να προσαρμόσουν κατάλληλα τα προϊόντα και τις υπηρεσίες τους, σύμφωνα με τις ατομικές προσδοκίες των χρηστών. Μία τέτοια ωστόσο πρακτική θα μπορούσε να οδηγήσει σε μεγαλύτερη εποπτεία των δραστηριοτήτων του χρήστη, με χαρακτηριστικό και αναμενόμενο απότοκο ακόμη και την πώληση των δεδομένων αυτών σε διαφημιστές.

Φυσικά, καθώς οι χρήστες θα παράγουν ασταμάτητα περισσότερα δεδομένα μέσα στο Metaverse, ο κίνδυνος κλοπής τους είναι αυξημένος. Καθώς οι χρήστες αυξάνουν το ψηφιακό τους αποτύπωμα στον νέο ψηφιακό κόσμο και βιώνουν μια συνεχώς πιο καθηλωτική εμπειρία, δημιουργούν μεγάλο όγκο προσωπικών δεδομένων, γεγονός που εγείρει ερωτήματα σχετικά με το ποιος είναι υπεύθυνος για την αποθήκευσή τους, την εν γένει επεξεργασία τους, αλλά και τη διασφάλισή τους από τυχόν κακόβουλες, μη εξουσιοδοτημένες προσπάθειες πρόσβασης και εν τέλει παραβίασης της ιδιωτικότητάς τους. Μία παραβίαση του κυβερνοχώρου θα μπορούσε να επιφέρει άμεσο οικονομικό πλήγμα στην εταιρεία/δημιουργό του ψηφιακού περιβάλλοντος, με ακόμη μεγαλύτερες συνέπειες για τους χρήστες του.

Τελικά σχόλια

Οι παραπάνω είναι μόνο κάποιοι από τους κινδύνους που φαίνεται να εγκυμονεί η εξάπλωση του Metaverse για τα δικαιώματα και τις ελευθερίες των χρηστών του ως φυσικών προσώπων. Άλλα ζητήματα που προκύπτουν αφορούν ένα ευρύ φάσμα του εμπορικού και οικονομικού νομικού πλαισίου, όπως η νομιμοποίηση των εσόδων από παράνομες δραστηριότητες εντός του Metaverse, η ρύθμιση των χρηματοπιστωτικών υπηρεσιών, τα ζητήματα των NFTs, αλλά και πλήθος θεμάτων πνευματικής ιδιοκτησίας. Όσον αφορά τον τομέα της πνευματικής ιδιοκτησίας (copyright) ένα περίπλοκο ερώτημα θα ήταν εάν ένας χρήστης που δημιούργησε κάτι στο Metaverse, όπως το άβαταρ του, το σπίτι του ή το περιβάλλον δραστηριοποίησής του, θα κατέχει ο ίδιος τα δικαιώματα για τα δημιουργήματά του ή αυτά θα ανήκουν αποκλειστικά στην Εταιρεία στην οποία ανήκει το εικονικό περιβάλλον.

Εναπόκειται επομένως στις εταιρείες τεχνολογίας να προσαρμόσουν τις πολιτικές τους κατάλληλα, ώστε να μπορούν να ανταποκριθούν στις απαιτήσεις της επανάστασης που φέρνει σταδιακά ο κόσμος της εικονικής πραγματικότητας, ελαχιστοποιώντας τα ρίσκα για την παραβίαση της ιδιωτικότητας. Η Εταιρεία Meta έχει ήδη ανακοινώσει ότι πρόκειται να συνεργαστεί στενά με τους οργανισμούς για την προστασία των πολιτικών δικαιωμάτων προκειμένου να διασφαλίσει ότι το Metaverse αξιοποιεί μόνο τεχνολογίες που «έχουν κατασκευαστεί με τρόπο που να είναι περιεκτικός και ενδυναμωτικός για τα δικαιώματα και τις ελευθερίες των ατόμων.»

Μεγάλο μέρος του νομοθετικού πλαισίου για την προστασία της ιδιωτικότητας στο Metaverse αναμένεται να βρει εφαρμογή, όπως ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR), ενώ σε άλλες περιπτώσεις οι υφιστάμενοι νόμοι μπορεί να αποδειχθούν ανεπαρκείς για την αντιμετώπιση των συμπεριφορών στα εικονικά περιβάλλοντα, γεγονός που θα προκαλέσει την ψήφιση νέων νόμων και κανονισμών. Κάποιοι από αυτούς μπορεί να περιλαμβάνουν την ψήφιση του Digital Services Act, του Digital Markets Act, και του προτεινόμενου AI Regulation.

Καθώς το Metaverse γίνεται σταδιακά πραγματικότητα, αναμένεται να ανακύψουν και άλλα νομικά ζητήματα σχετικά με την προστασία των προσωπικών δεδομένων, που σίγουρα στην παρούσα φάση είναι αδύνατο να προβλεφθούν. Το καίριο ζήτημα που θα παραμείνει αφορά την αέναη παραγωγή πλήθους προσωπικών πληροφοριών για τους χρήστες του Metaverse, σε συνδυασμό με τη συνεχόμενη απαίτηση για νέο εξοπλισμό, τεχνικό υλικό και νέας γενιάς λογισμικό, τα οποία χρειάζεται εξ ορισμού και από τον σχεδιασμό τους να συνάδουν με τις θεμελιώδεις αρχές για την προστασία των προσωπικών δεδομένων.

 

Ελένη Καλπία

Δικηγόρος, Data Privacy Consultant

ΕΞΥΠΝΟ ΚΟΥΔΟΥΝΙ: ΕΝ ΔΥΝΑΜΕΙ ΑΠΕΙΛΗ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ;

Η τοποθέτηση καμερών αδιαμφισβήτητα αποτελεί πρακτική που έχει απασχολήσει την διεθνή κοινότητα σε μεγάλο βαθμό τα τελευταία χρόνια, ιδιαίτερα όταν πρόκειται για εγκατάσταση καμερών σε σπίτια και ιδιωτικούς χώρους, αφού έχει οδηγήσει κατά καιρούς σε σειρά παραβιάσεων της ιδιωτικότητας των φυσικών προσώπων, επιφέροντας κατά συνέπεια ιδιαίτερα επιβαρυντικά πρόστιμα για ιδιώτες και νομικά πρόσωπα. Με πρόσφατη απόφαση ενός Βρετανικού Δικαστηρίου, έρχονται να προστεθούν και τα ‘’έξυπνα’’ κουδούνια στις δυνητικές απειλές για την προστασία των προσωπικών δεδομένων.

Όλα ξεκίνησαν όταν ένας Βρετανός κάτοικος τοποθέτησε έξω από την οικία του ένα έξυπνο κουδούνι το οποίο περιείχε κάμερα που κατέγραφε ήχο και εικόνα από το σπίτι του γείτονά του. Κομβικό σημείο για την απόφαση αυτή όμως αποτέλεσε η αυτοματοποιημένη φύση της καταγραφής, αφού παρατηρήθηκε αυτόματη ενεργοποίηση καταγραφής ήχου όταν εντοπιζόταν κίνηση. Επιπρόσθετο επιβαρυντικό παράγοντα αποτέλεσε και το μεγάλο εύρος κάλυψης της κάμερας καθώς κατέγραφε σημαντικό μέρος του εξωτερικού χώρου του γειτονικού σπιτιού. Τέλος, στη δυσχέρανση της θέσης του Βρετανού κατοίκου συνετέλεσε το γεγονός ότι δεν υπήρχαν προειδοποιητικές πινακίδες που να ενημερώνουν για την καταγραφή ήχου και εικόνας.

Η απόφαση αυτή πιθανόν δεν θα επηρεάσει τη χρήση των συμβατικών κουδουνιών αλλά ίσως δημιουργήσει δεδικασμένο για κάμερες γύρω από ιδιωτικές κατοικίες που είναι συνεχώς σε λειτουργία ή ενεργοποιούνται με τον εντοπισμό κίνησης. Μάλιστα, ένα θεμελιώδες αποκύημα της απόφασης αυτής ήταν ότι ο Βρετανός κάτοικος που τοποθέτησε τα προαναφερθέντα ‘έξυπνα΄ κουδούνια ορίστηκε από το Δικαστήριο ως ‘data controller’ (Υπεύθυνος Επεξεργασίας) και συνεπώς κατέστη υπόλογος σε ενδεχόμενα πρόστιμα που προβλέπει ο ΓΚΠΔ. Η απόφαση αυτή ίσως οδηγήσει στην αναθεώρηση πολλών ιδιωτών που σκοπεύουν να εγκαταστήσουν ανάλογες συσκευές στην οικία τους, ωστόσο  θα χρειαστούν περαιτέρω παρόμοιες αποφάσεις για να οδηγηθούμε σε επανασχεδιασμό των ‘έξυπνων’ κουδουνιών.

Εν κατακλείδι, είναι φανερό πως η ραγδαία αύξηση της τεχνολογίας σε συνδυασμό με την τάση ευαισθητοποίησης προς την ιδιωτικότητά μας θέτει σε καθημερινή βάση πολύπλευρα και αμφίσημα νομικά αλλά και πρακτικά ερωτήματα. Η ευκολία με την οποία μπορούμε να προμηθευθούμε εξελιγμένες τεχνολογικές συσκευές θα πρέπει να συνοδεύεται  με την όξυνση του αισθήματος της ατομικής ευθύνης προκειμένου να αποφεύγονται παραβατικές συμπεριφορές που διακινδυνεύουν την ακεραιότητα της προσωπικής ζωής των ανθρώπων.

ΠΩΣ ΕΝΑ ΓΕΥΜΑ ΜΠΟΡΕΙ ΝΑ ΔΙΑΚΙΝΔΥΝΕΥΣΕΙ ΤΗΝ ΙΔΙΩΤΙΚΟΤΗΤΑ ΣΑΣ

Σε μία προσπάθεια για την παρεμπόδιση της εξάπλωσης του Covid-19, οι χώροι εστίασης αντικαθιστούν σταδιακά τα κλασικά τυπωμένα μενού με ψηφιακά, στα οποία παρέχεται εύκολη πρόσβαση  μέσω QR κωδικών (Quick Response codes). Δεδομένου ότι οι κωδικοί QR επιτρέπουν την γρήγορη απεικόνιση των μενού, διευκολύνοντας τη διαδικασία της παραγγελίας, γίνονται ολοένα και πιο δημοφιλείς. Μήπως όμως αυτή η «ανέπαφη» τεχνολογία προκαλεί περισσότερο κακό παρά καλό, ειδικότερα αναφορικά με την ιδιωτικότητα και την ασφάλεια των πελατών;

Ένας QR κωδικός μπορεί να συνδεθεί με οτιδήποτε αυξάνει την ικανότητα μίας επιχείρησης να εντοπίσει και να αναλύσει τη συμπεριφορά των πελατών της, συλλέγοντας προσωπικά δεδομένα όπως δεδομένα τοποθεσίας, τηλεφωνικούς αριθμούς και emails, ακόμα και πληροφορίες πιστωτικών καρτών. Τα δεδομένα αυτά θα μπορούσαν εύκολα να τροφοδοτήσουν βάσεις δεδομένων χωρίς την ενημέρωση ή τη συγκατάθεση των χρηστών για διαφημιστικούς και προωθητικούς σκοπούς, εγείροντας έντονα ζητήματα ιδιωτικότητας αλλά και κινδύνους ασφαλείας.

Οι QR κωδικοί είναι προγραμματιζόμενοι κι έτσι μπορούν να χρησιμοποιηθούν εύκολα για να παρακολουθήσουν τις επιλογές των πελατών, όπως για παράδειγμα πότε, πού και πόσο συχνά σκανάρονται οι κωδικοί. Επιπλέον, ενεργοποιούν τα λεγόμενα και ευρέως διαδεδομένα “cookies”, τα οποία έχουν τη δυνατότητα να εντοπίσουν και να αποθηκεύσουν σε βάσεις δεδομένων στοιχεία όπως το ιστορικό παραγγελιών του πελάτη, το όνομα και την τοποθεσία του.

Επιπρόσθετα, η χρήση των κωδικών αυτών δημιουργεί αμφιβολίες για την ασφάλεια των δεδομένων, αφού μπορεί να αποτελούν ανοικτή δίοδο για την εισροή ιών ή άλλου κακόβουλου λογισμικού απευθείας στο κινητό τηλέφωνο του πελάτη. Η φασαρία και οι περισπασμοί του χώρου είναι πιθανό να καταλήξουν σε μη ασφαλή κλικ, αφού ο πελάτης δεν είναι διατεθειμένος να ελέγξει την ασφάλεια της σελίδας στην οποία εισέρχεται. Είναι επίσης γνωστό ότι ορισμένοι χάκερς επικολλάνε το δικό τους αυτοκόλλητο κωδικού QR πάνω από τον πραγματικό κωδικό του εστιατορίου που ενδεχομένως υπάρχει σε ένα μενού. Με αυτόν τον τρόπο μπορούν να ανακατευθύνουν τον πελάτη σε ένα διαφορετικό, δικό τους ιστότοπο που φιλοξενεί κακόβουλο λογισμικό.

Η παρουσίαση ενός διαδικτυακού μενού στο τηλέφωνο του πελάτη δεν σημαίνει βέβαια ότι αυτός παραδίδει κατευθείαν σε κακόβουλους χάκερς τα προσωπικά του δεδομένα, ωστόσο δίνει τη δυνατότητα στο εστιατόριο να γνωρίζει τις προτιμήσεις του, τις οποίες μπορεί στη συνέχεια να αξιοποιήσει για να πουλήσει καλύτερα τα προϊόντα του. Άλλωστε, η πλειοψηφία των συστημάτων QR κωδικών δεν διαθέτει σαφείς δικλείδες ασφάλειας απορρήτου. Δεν υπάρχει διαφάνεια ως προς τη συλλογή των δεδομένων κινητού και τη νομική βάση επεξεργασίας των δεδομένων του πελάτη, καθώς ούτε και αναφορικά με τις τρίτες ιστοσελίδες με τις οποίες μπορεί να συνδέεται η σελίδα του εστιατορίου ή τους πιθανούς αποδέκτες των δεδομένων των πελατών. Αν υποτεθεί για παράδειγμα ότι επισκεφτήκατε πρόσφατα ένα γαλλικό εστιατόριο, μη σας φανεί περίεργο τον επόμενο καιρό να σας εμφανίζονται διαφημίσεις για άλλα γαλλικά εστιατόρια κοντά σας.

Για τον μετριασμό των κινδύνων που σχετίζονται με τα ίχνη που μένουν πίσω μετά από μία έξοδο σε ένα εστιατόριο, υπάρχουν κάποιες προφυλάξεις που θα μπορούσαν να λάβουν οι πελάτες. Το σημαντικότερο είναι να αντιμετωπίζουν τους QR κωδικούς με τον ίδιο τρόπο που διαχειρίζονται ένα συνημμένο αρχείο σε ένα email. Οι άγνωστοι υπερσύνδεσμοι και οι ιστοσελίδες θα πρέπει να αποφεύγονται, ενώ οι πελάτες δεν θα πρέπει να κατεβάζουν κανένα αρχείο στο κινητό τους τηλέφωνο. Επιπρόσθετα, θα πρέπει να κρατούν τα μάτια τους ανοιχτά για τυχόν αυτοκόλλητα πάνω από τους πραγματικούς QR κωδικούς.

Από την πλευρά των εστιατορίων, αυτά χρειάζεται να επενδύουν σε αξιόπιστα λογισμικά QR κωδικών, με τεκμηριωμένα και αυστηρά τεχνικά μέτρα ασφαλείας, που να διασφαλίζουν πως τα προσωπικά δεδομένα των πελατών τους θα παραμένουν ασφαλή και εμπιστευτικά.

Μπορεί εν τέλει οι ψηφιακές εκδόσεις των μενού στα εστιατόρια να εμποδίζουν την εξάπλωση των μικροβίων, χωρίς όμως την δέουσα προσοχή, ίσως κοστίσουν την ιδιωτικότητα των πελατών.

ΤΕΧΝΟΛΟΓΙΕΣ ΑΝΑΓΝΩΡΙΣΗΣ ΠΡΟΣΩΠΟΥ ΚΑΙ ΕΙΔΙΚΟΤΕΡΟΙ ΠΡΟΒΛΗΜΑΤΙΣΜΟΙ ΓΙΑ ΤΗΝ ΙΔΙΩΤΙΚΟΤΗΤΑ

Τον τελευταίο καιρό παρατηρείται έντονη αναταραχή σχετικά με την άνοδο και την εκτεταμένη χρήση τεχνολογιών αναγνώρισης προσώπου, αφού αξιοποιούνται όλο και περισσότερο από τις δημόσιες αρχές των χωρών, μεταξύ άλλων για την αναγνώριση και τη δίωξη πιθανών εγκληματιών. Η χρήση τέτοιων τεχνολογιών χωρίς τη συγκατάθεση των πολιτών θα μπορούσε να έχει πιθανά οφέλη για την ασφάλειά τους, ωστόσο, εκτός από τους ηθικούς προβληματισμούς που εμφανώς εγείρει, αναμφίβολα αποτελεί μία περίπτωση πιθανής παραβίασης της ιδιωτικότητας των πολιτών, η οποία απαιτεί προσεκτική προηγούμενη εκτίμηση των επιπτώσεων αλλά και διασφάλιση λήψης κατάλληλων μέτρων για τον περιορισμό των αρνητικών αυτών επιπτώσεων στην προσωπική τους ζωή.

Τέτοια εργαλεία δεν είναι πάντα απαραίτητα για την εύρεση υπόπτων, ωστόσο η χρήση γίνεται όλο και πιο συχνή. Η αναγνώριση προσώπου χρησιμοποιείται ευρέως πλέον σε τράπεζες, αεροδρόμια και ιδρύματα υγειονομικής περίθαλψης για να προσδιοριστεί με ακρίβεια εάν ένα άτομο είναι πράγματι αυτό που δηλώνει, πρακτική που απαιτεί σίγουρα μία ευαίσθητη εξισορρόπηση μεταξύ των δικαιωμάτων των οποίων η προστασία επιδιώκεται.

Μία από τις πιο σοκαριστικές, θα έλεγε κανείς, εφαρμογές της τεχνολογίας αυτής παρακολούθησης, αποτελεί το σύστημα παρακολούθησης της Κίνας, η οποία διαθέτει το μεγαλύτερο δίκτυο καμερών στον κόσμο, χρησιμοποιώντας πάνω από τις μισές κάμερες που υπάρχουν σε ολόκληρο τον κόσμο.Το σύστημα αυτό θα μπορούσε να παρομοιαστεί με το γνωστό «Πανοπτικόν», ένα κτήριο φυλακής που σχεδιάστηκε μόλις το 1785 από τον φιλόσοφο και κοινωνιολόγο Jeremy Bentham και ο σχεδιασμός του επιτρέπει την πλήρη και συνεχή επίβλεψη όλων των κρατούμενων. Στην πραγματικότητα της Κίνας, το σύστημα παρακολούθησης σαρώνει μέσω των καμερών τα χαρακτηριστικά του προσώπου των ανθρώπων στους δρόμους από διάφορα καρέ βίντεο σε πραγματικό χρόνο, δημιουργώντας έναν εικονικό χάρτη του προσώπου. Οι κάμερες αναγνώρισης προσώπου αξιοποιούνται σε πλήθος δραστηριοτήτων, όπως με σκοπό την παρακολούθηση των τουριστών σε πολιτιστικά μνημεία, τον έλεγχο σε αεροδρόμια, μέχρι την αστυνόμευση βάσει των προφίλ των πολιτών ή με στόχο την άσκηση πολιτικών πιέσεων. Με τον τρόπο αυτό, τελικά οι άνθρωποι υποχρεούνται να υπακούουν στους νόμους της χώρας, ακριβώς επειδή αισθάνονται ότι παρακολουθούνται διαρκώς.

Ένα άλλο πρόσφατο παράδειγμα που καταδεικνύει την εκτεταμένη χρήσης συστημάτων αναγνώρισης προσώπου αποτελεί η υπόθεση του FBI, το οποίο χρησιμοποίησε τέτοιες τεχνολογίες για τον εντοπισμό ενός ταραχοποιού των γεγονότων του Καπιτωλίου στις Η.Π.Α. από τις δημοσιεύσεις της φίλης του στο Instagram. Οι ομοσπονδιακοί πράκτορες έψαξαν ένα συγκεκριμένο άτομο στο διαδίκτυο, αξιοποιώντας εικόνες από τα γεγονότα στο Καπιτώλιο, συμπεριλαμβανομένων εκείνων των εικόνων που είχαν κοινοποιηθεί στο Twitter, με τη χρήση ενός εργαλείου αναγνώρισης προσώπου ανοιχτού κώδικα, «γνωστού για την εξαγωγή αξιόπιστων αποτελεσμάτων», όπως χαρακτηριστικά ανέφεραν. Η έρευνα αυτή οδήγησε σε ένα δημόσιο προφίλ στο Instagram, το οποίο άνηκε στη φίλη του υπόπτου και περιείχε πλήθος φωτογραφιών του.

Οι φωτογραφίες στον λογαριασμό έδειξαν ότι ο ύποπτος φορούσε τα ίδια ρούχα με εκείνα που τραβήχτηκαν σε φωτογραφίες στο Καπιτώλιο. Κατόπιν, οι ομοσπονδιακοί πράκτορες εντόπισαν τους λογαριασμούς Facebook που ανήκαν στα μέλη της οικογένειάς του, αποκαλύπτοντας τελικά το πλήρες όνομα του υπόπτου. Στη συνέχεια, αφού συσχέτισαν την ταυτότητά του με τα αρχεία αδειών οδήγησης του κράτους, τον παρακολούθησαν στο σπίτι και στον χώρο εργασίας του, όπου εντοπίστηκε ακόμη και από το χαρακτηριστικό καπέλο του, το οποίο φορούσε την ημέρα των γεγονότων στις Η.Π.Α.

Γίνεται έτσι απολύτως σαφές ότι όλες οι βιομετρικές πληροφορίες που συλλέγονται μπορούν να χρησιμοποιηθούν για την αναγνώριση ενός ανυποψίαστου ατόμου στο μέλλον. Σε συνδυασμό μάλιστα με το ενδιαφέρον  των κορυφαίων εταιρειών της βιομηχανίας, όπως η IBM, το Facebook και η Amazon, προβλέπεται η ευρεία εφαρμογή τέτοιων τεχνολογιών στο μέλλον, τόσο για λόγους πρόσβασης όσο και ασφάλειας των συναλλαγών. Αυτές οι πληροφορίες μπορούν επιπλέον να χρησιμοποιηθούν ακόμη και κατά λάθος ή για σκοπό διαφορετικό από τον οποίο συλλέχθηκαν εξ αρχής. Για αυτό και η μακροζωία αυτών των τεχνολογιών σε δημόσιο περιβάλλον θα πρέπει να διασφαλιστεί με κάθε τρόπο..

Όσον αφορά τη συγκατάθεση των ίδιων των ατόμων, πιθανές συμφωνίες παροχής συγκατάθεσης αποτελούν μάλλον ένα σαθρό ρυθμιστικό εργαλείο που σε καμία περίπτωση δεν μπορεί να εξασφαλίσει τη νομιμότητα μίας τέτοιου μεγέθους επεξεργασίας ευαίσθητων προσωπικών δεδομένων. Η ατομική συγκατάθεση για τη χρήση τεχνολογιών αναγνώρισης προσώπου αποδεικνύεται ιδιαίτερα ακανθώδης, αφού θέτει σε κίνδυνο τη συλλογική ιδιωτικότητα.

Ενώ οι νεότεροι κανονισμοί, όπως ο GDPR και ο CCPA, αποτελούν ισχυρές βάσεις για την προστασία της ιδιωτικής ζωής των πολιτών, υπάρχει ανάγκη για αυστηρότερη ρύθμιση των τεχνολογιών αυτών, με πρόβλεψη αυστηρότερων μέτρων αλλά και κυρώσεων. Οι άνθρωποι κινδυνεύουν να συμφιλιωθούν με την ιδέα της μόνιμης και διαρκούς παρακολούθησης, ως μίας πρακτικής αναμενόμενης και φυσιολογικής. Ακόμη περισσότερο, όσα παιδιά γεννιούνται και μεγαλώνουν σε τέτοια περιβάλλοντα παρακολούθησης είναι πιθανό να μην προβάλλουν καμία αντίσταση στην χρήση των εικόνων τους για οποιανδήποτε σκοπό, ενώ είναι ήδη διατεθειμένα να εκχωρήσουν σε οποιοδήποτε μέσο τα προσωπικά τους δεδομένα.

Με την ανοχή και την αποδοχή τέτοιων πρακτικών αναγνώρισης και καταχώρισης προσωπικών χαρακτηριστικών, τελικά ο άνθρωπος αλλοιώνεται και λησμονεί τα δικαιώματά του προς την ελεύθερη επιλογή συμπεριφοράς. Οι παρεμβάσεις στην προσωπική ζωή θεωρούνται πλέον μέρος της καθημερινότητας και οποιοδήποτε ψήγμα ελευθερίας και μοναδικότητας κινδυνεύει να χαθεί διά παντός.

Top