Όπως διαρρέει σταδιακά τις τελευταίες ημέρες από διάφορα μέσα ενημέρωσης, η Ευρωπαϊκή Επιτροπή έχει θέσει σε κίνηση κρυφά μια δυνητικά μαζική μεταρρύθμιση του ΓΚΠΔ. Εάν τα εσωτερικά προσχέδια γίνουν πραγματικότητα, αυτό θα έχει σημαντικό αντίκτυπο στο θεμελιώδες δικαίωμα των ανθρώπων στην ιδιωτικότητα και την προστασία των δεδομένων. Η μεταρρύθμιση θα αποτελεί μέρος του λεγόμενου «Ψηφιακού Ομήρου», το οποίο υποτίθεται ότι θα φέρει μόνο στοχευμένες προσαρμογές για την απλοποίηση της συμμόρφωσης για τις επιχειρήσεις. Τώρα, η Επιτροπή προτείνει αλλαγές σε βασικά στοιχεία, όπως ο ορισμός των «προσωπικών δεδομένων» και όλα τα δικαιώματα των υποκειμένων των δεδομένων βάσει του ΓΚΠΔ. Το προσχέδιο που διέρρευσε προτείνει επίσης να δοθεί στις εταιρείες Τεχνητής Νοημοσύνης (όπως η Google, η Meta ή η OpenAI) λευκή επιταγή για να απορροφούν τα προσωπικά δεδομένα των Ευρωπαίων. Επιπλέον, η ειδική προστασία ευαίσθητων δεδομένων, όπως δεδομένα υγείας, πολιτικές απόψεις ή σεξουαλικός προσανατολισμός, θα μειωθεί σημαντικά. Επίσης, θα επιτρέπεται η απομακρυσμένη πρόσβαση σε προσωπικά δεδομένα σε υπολογιστές ή smartphone χωρίς τη συγκατάθεση του χρήστη . Πολλά στοιχεία της προβλεπόμενης μεταρρύθμισης θα ανέτρεπαν τη νομολογία του ΔΕΕ, θα παραβίαζαν τις Ευρωπαϊκές Συμβάσεις και τον Ευρωπαϊκό Χάρτη Θεμελιωδών Δικαιωμάτων. Το αν αυτό το ακραίο προσχέδιο γίνει η επίσημη θέση της Ευρωπαϊκής Επιτροπής, θα γίνει σαφές μόνο στις 19 Νοεμβρίου, όταν θα παρουσιαστεί επίσημα το «Ψηφιακό Omnibus». Σχρέμς: « Αυτό θα αποτελούσε μια μαζική υποβάθμιση της ιδιωτικής ζωής της Ευρώπης δέκα χρόνια μετά την υιοθέτηση του ΓΚΠΔ ».
- Πίνακας επισκόπησης του σχεδίου και σχόλια από τον noyb
- Διαρροή εγγράφων σχετικά με τις θέσεις των κρατών μελών (που σε μεγάλο βαθμό δεν ζητούν μεταρρυθμίσεις)
- Διέρρευσαν έγγραφα από τη Γερμανία (που ζητούν μια μαζική μεταρρύθμιση, αλλά σε μεγάλο βαθμό όχι τώρα)
- Διαρροή Πρωτότυπου Κειμένου (μέσω Netzpolitik.org)
- Πρωτότυπη ρεπορτάζ από MLex (με χρέωση), ρεπορτάζ από Reuters και ρεπορτάζ από Netzpolitik.org
Μυστική «ταχεία» επίθεση στον ΓΚΠΔ. Η Ευρωπαϊκή Επιτροπή σχεδιάζει να απλοποιήσει αρκετούς νόμους της ΕΕ μέσω μιας λεγόμενης μεταρρύθμισης «Omnibus», ενός εργαλείου που συνήθως αλλάζει οριζόντια διάφορα μικρότερα στοιχεία διαφόρων νόμων, για να βελτιώσει την ποιότητα του νόμου και να απλοποιήσει τις υποχρεώσεις γραφειοκρατίας. Σε αντίθεση με την παραδοσιακή προσέγγιση στη νομοθεσία, η Omnibus γίνεται μέσω μιας «ταχείας» διαδικασίας που παρακάμπτει πολλά στοιχεία της διαδικασίας, συμπεριλαμβανομένων των εκτιμήσεων επιπτώσεων και της παροχής χρόνου για ανατροφοδότηση από τις νομικές υπηρεσίες και τις αρμόδιες μονάδες στα θεσμικά όργανα της ΕΕ. Αυτό είναι αποδεκτό εάν γίνουν μόνο απλές βελτιώσεις που δεν αμφισβητούνται.
Ωστόσο, όπως αποκαλύφθηκε, οι υπηρεσίες της Ευρωπαϊκής Επιτροπής υπό την Εκτελεστική Αντιπρόεδρο Henna Virkkunen (η λεγόμενη « ΓΔ CONNECT ») εργάζονται πάνω σε μια μαζική μεταρρύθμιση του ΓΚΠΔ υπό τον τίτλο της φερόμενης «απλοποίησης» ή «διευκρινίσεων».
Μαξ Σρεμς: « Το προσχέδιο δεν είναι απλώς ακραίο, αλλά και πολύ κακογραμμένο. Δεν βοηθά τις «μικρές επιχειρήσεις», όπως είχε υποσχεθεί, αλλά και πάλι ωφελεί κυρίως τις «μεγάλες τεχνολογικές» επιχειρήσεις».
Το αρχικό σχέδιο της Επιτροπής ήταν να πραγματοποιήσει τον λεγόμενο «Έλεγχο Ψηφιακής Καταλληλότητας» το 2026, να συλλέξει τα απαραίτητα στοιχεία και στη συνέχεια να προβεί σε μια στοχευμένη και καλά ανεπτυγμένη ενημέρωση του ΓΚΠΔ και άλλων ψηφιακών νόμων.
Η ΕΕ «πηδάει» στις γερμανικές ή στις αμερικανικές απαιτήσεις; Τόσο τα ενδιαφερόμενα μέρη όσο και τα κράτη μέλη έχουν ζητήσει ρητά να μην ανοίξει ξανά ο ΓΚΠΔ. Σε μια σύνοψη των θέσεων των κρατών μελών , σχεδόν όλα τα κράτη μέλη που υπέβαλαν σχόλια δηλώνουν ότι δεν επιθυμούν καμία αλλαγή. Ωστόσο, η Γερμανία πίεσε για σημαντικές αλλαγές στον ΓΚΠΔ που υπερβαίνουν την αρχική εντολή αυτού του νόμου. Φαίνεται ότι η Επιτροπή απλώς «πήδηξε» σε ένα γερμανικό ανεπίσημο έγγραφο που διέρρευσε την περασμένη εβδομάδα , δεδομένου ότι πολλές αλλαγές στο προσχέδιο φαίνεται να είναι ένα αντίγραφο 1:1 των απαιτήσεων στη διαρροή γερμανικής επιστολής. Η Γερμανία δεν παρείχε στοιχεία για την ανάγκη των εν λόγω μεταρρυθμίσεων - δεν είναι σαφές από πού προέρχονται αυτά τα αιτήματα. Άλλες φωνές επισημαίνουν πρόσφατο δημοσίευμα του Politico, ότι το μήνυμα του Virkkunen προς τις αμερικανικές επιχειρήσεις σε άμεσες συναντήσεις ήταν ότι η ΕΕ θα επανεξετάσει τους κανόνες της και θα γίνει πιο φιλική προς τις επιχειρήσεις.
Μαξ Σρεμς: « Δεν είναι σαφές από πού προέρχεται η πολιτική πίεση. Τα περισσότερα κράτη μέλη ζήτησαν μικρές αλλαγές και κανένα άνοιγμα. Η Γερμανία παραδοσιακά τηρεί θέση κατά του GDPR στην Ευρώπη. Φαίνεται ευκολότερο να κατηγορήσουμε κάποια νομοθεσία της ΕΕ για τα γερμανικά προβλήματα με την ψηφιοποίηση παρά να διορθώσουμε τα πράγματα σε εθνικό επίπεδο. Δεν μας εκπλήσσει το γεγονός ότι αυτή η τελευταία ώθηση προέρχεται και πάλι από τη Γερμανία. Υπάρχουν αναφορές ότι και η πίεση από τις ΗΠΑ θα μπορούσε να διαδραματίσει κάποιο ρόλο.»
Διαβάζοντας το πρώτο εσωτερικό προσχέδιο, είναι σαφές ότι η πιθανή ζημιά στον ΓΚΠΔ (βλ. λεπτομέρειες παρακάτω) θα ήταν τεράστια. Μεγάλα μέρη του σχεδίου παραβιάζουν τις Ευρωπαϊκές Συμβάσεις, τον Χάρτη των Θεμελιωδών Δικαιωμάτων ή την πάγια νομολογία του Δικαστηρίου. Το αν αυτό είναι σκόπιμο ή οφείλεται στον γρήγορο ρυθμό της εργασίας και στην κακή ποιότητα του σχεδίου που προκύπτει παραμένει ανοιχτό. Πηγές των Βρυξελλών ανέφεραν ότι ορισμένες μονάδες είχαν μόνο πέντε (!) εργάσιμες ημέρες για να σχολιάσουν ένα σχέδιο νόμου άνω των 180 σελίδων.
Μαξ Σρεμς: «Ένα μέρος της Επιτροπής της ΕΕ φαίνεται να προσπαθεί να υπερισχύσει όλων των άλλων στις Βρυξέλλες, αγνοώντας τους κανόνες περί καλής νομοθεσίας, με δυνητικά τρομερά αποτελέσματα. Είναι πολύ ανησυχητικό να βλέπουμε τις πρακτικές νομοθετικής διαδικασίας του Τραμπ να επικρατούν στις Βρυξέλλες».
Σύγχυση στην «κούρσα της Τεχνητής Νοημοσύνης»; Ενώ θα μπορούσαν να υπάρχουν αρκετοί καλοί τρόποι για τη βελτίωση και την απλοποίηση του GDPR, οι προτεινόμενες αλλαγές φαίνεται να πάσχουν από «σύγχυση» στην ενεργοποίηση της εκπαίδευσης και της χρήσης της Τεχνητής Νοημοσύνης - ακόμη και σε προσωπικά δεδομένα. Σε μια πρόσφατη μελέτη, ωστόσο, μόνο το 7% των Γερμανών δηλώνουν ότι θέλουν η Meta να χρησιμοποιεί τα προσωπικά τους δεδομένα για την εκπαίδευση της Τεχνητής Νοημοσύνης . Παρ 'όλα αυτά, η μεταρρύθμιση στοχεύει σε κάθε στοιχείο του GDPR που θα μπορούσε να περιορίσει τη χρήση της Τεχνητής Νοημοσύνης.
Max Schrems: «Αυτό που φαίνεται να παραβλέπουν αυτές οι αλλαγές είναι ότι το μεγαλύτερο μέρος της επεξεργασίας δεδομένων δεν βασίζεται στην Τεχνητή Νοημοσύνη. Η πιθανή αλλαγή που θα «απελευθέρωνε» την Τεχνητή Νοημοσύνη θα είχε τεράστιες ακούσιες συνέπειες για πολλούς άλλους τομείς του GDPR. Η προστασία των δεδομένων υγείας, των μειονοτήτων ή των εργαζομένων θα καταργούνταν επίσης σε αυτό το προσχέδιο. Μεγάλα τμήματα της διαδικτυακής διαφημιστικής επιχείρησης ενδέχεται να είναι σε θέση να παρακάμψουν τις υποχρεώσεις του GDPR, λόγω των εξεταζόμενων αλλαγών».
Θάνατος κατά 1000 περικοπές. Ενώ πολλές αλλαγές ακούγονται τεχνικές, πίσω από κάθε «ορισμό» στον ΓΚΠΔ κρύβονται τα δικαιώματα των ανθρώπων. Οι αλλαγές κυμαίνονται από την περικοπή σε αυτό που θεωρείται ακόμη και «προσωπικό δεδομένο» και επομένως προστατεύεται, μέχρι τον περιορισμό του «δικαιώματος πρόσβασης», έτσι ώστε οι εργαζόμενοι, οι δημοσιογράφοι ή οι ερευνητές να μην μπορούν πλέον να έχουν πρόσβαση στα δικά τους δεδομένα. Οι αλλαγές επιτρέπουν επίσης επιεική πρόσβαση στην «άντληση» δεδομένων από smartphone, υπολογιστές ή συνδεδεμένες συσκευές ή επιτρέπουν σε μεγάλο βαθμό στις εταιρείες να χρησιμοποιούν προσωπικά δεδομένα από Ευρωπαίους για (εμπορική) εκπαίδευση στην Τεχνητή Νοημοσύνη. Ενώ οι εταιρείες συχνά υποστηρίζουν ότι ο ΓΚΠΔ θα αποτελούσε «βάρος», η πραγματικότητα είναι ότι ούτε το 1,3% όλων των καταγγελιών του ΓΚΠΔ δεν οδηγεί σε πρόστιμο . Στην Ιρλανδία μόνο το 0,6% των προστίμων έχει μέχρι στιγμής πληρωθεί .
Μαξ Σρεμς: « Το προσχέδιο θα δημιουργούσε πολλά μικρά κενά στο νόμο, γεγονός που θα τον καθιστούσε συνολικά άχρηστο στις περισσότερες περιπτώσεις. Ήδη δεν βλέπουμε σχεδόν καθόλου εφαρμογή των νόμων της ΕΕ για την προστασία της ιδιωτικής ζωής, με αυτές τις αλλαγές στις περισσότερες υποθέσεις κερδίζουμε αυτήν τη στιγμή - πιθανότατα θα χάσουμε ή θα αντιμετωπίσουμε ακόμη πιο περίπλοκες διαδικασίες».
Ουσιαστικά κανένα όφελος για τις ΜΜΕ και τις επιχειρήσεις της ΕΕ. Ο επίσημος λόγος για τις «διευκρινίσεις» και τις «απλουστεύσεις» μέσω του Omnibus ήταν ο περιορισμός του διοικητικού φόρτου για τις Μικρές και Μεσαίες Επιχειρήσεις (ΜΜΕ) στην ΕΕ. Το noyb υποστηρίζει πλήρως αυτόν τον στόχο. Ωστόσο, οι προτεινόμενες αλλαγές αφορούν κυρίως εταιρείες που ασχολούνται με την εκπαίδευση στην Τεχνητή Νοημοσύνη - δηλαδή εταιρείες που τώρα αποτιμώνται σε τρισεκατομμύρια (όπως το OpenAI, η Google, η Meta, η Amazon ή η Microsoft). Ενώ υπάρχουν ορισμένες διευκρινίσεις που θα μπορούσαν να ωφελήσουν τις ΜΜΕ, όπως οι κανόνες σχετικά με το πότε πρέπει να γίνονται οι λεγόμενες «Εκτιμήσεις Επιπτώσεων στην Προστασία Δεδομένων», αυτές δεν θα έχουν μεγαλύτερο αντίκτυπο στην ευρωπαϊκή ανταγωνιστικότητα.
Μαξ Σρεμς: « Εάν αυτό το προσχέδιο είναι τελικό, τότε οποιαδήποτε συζήτηση για «μικρές επιχειρήσεις» και «διοικητικό βάρος» είναι σαφώς απλώς μια παράλληλη προσπάθεια για να ληφθεί δημόσια υποστήριξη. Στην ουσία, πρόκειται για μια τεράστια προσπάθεια απορρύθμισης, που ανατρέπει 40 χρόνια ευρωπαϊκού δόγματος περί θεμελιωδών δικαιωμάτων .»
Αίτημα για επείγουσα διακοπή και σωστή νομοθεσία. Δεδομένου ότι η παρούσα πρόταση είναι γεμάτη προβλήματα και θα προκαλούσε επίσης μεγάλη νομική αβεβαιότητα που θα καθιστούσε πολλές αλλαγές ευάλωτες σε (επιτυχημένες) νομικές επιθέσεις ενώπιον του Δικαστηρίου, αυτή η προσέγγιση «ταχείας διαδικασίας» μπορεί να μην είναι χρήσιμη για κανέναν - είτε πρόκειται για ΜΜΕ, αρχές προστασίας δεδομένων είτε για χρήστες. Οι πρώτες ενδείξεις από το Ευρωπαϊκό Κοινοβούλιο υπογραμμίζουν επίσης ότι οι εκτεταμένες αλλαγές θα καθυστερούσαν σαφώς το «Omnibus» στο Κοινοβούλιο. Δεδομένου ότι η Επιτροπή σκοπεύει να εγκρίνει άλλα στοιχεία του Ψηφιακού Omnibus το συντομότερο δυνατό, πιστεύουμε ότι δεν υπάρχει άλλος τρόπος από το να αφαιρεθούν οι περισσότερες αλλαγές στον ΓΚΠΔ από το προσχέδιο.
Μαξ Σρεμς: «Η πραγματοποίηση μιας κακογραμμένης «γρήγορης πρότασης» σε έναν εξαιρετικά πολύπλοκο και ευαίσθητο τομέα όχι μόνο θα βλάψει τους χρήστες, αλλά δεν θα βοηθήσει ούτε τις επιχειρήσεις της ΕΕ . Θέτει επίσης υπό αμφισβήτηση το κατά πόσον αυτό το Omnibus μπορεί να περάσει γρήγορα από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Η Επιτροπή έχει ακόμη μια εβδομάδα για να αποφασίσει τι θα συμπεριληφθεί στην τελική πρόταση.»
Επισκόπηση των Αλλαγών
Το προσχέδιο του Ψηφιακού Γενικού Εγγράφου προτείνει αμέτρητες αλλαγές σε πολλά διαφορετικά άρθρα του ΓΚΠΔ. Συνολικά, αυτό ισοδυναμεί με «θάνατο κατά 1000 περικοπές». Έχουμε κάνει μια γενική επισκόπηση ορισμένων από τις βασικές αλλαγές. Για την πιο λεπτομερή νομική ανάλυση, κατεβάστε το PDF επισκόπησης εδώ . Όλες οι αλλαγές που αναφέρονται παρακάτω βασίζονται στην καλύτερη προσπάθειά μας να κατανοήσουμε τα εσωτερικά σχέδια της Επιτροπής. Ορισμένα στοιχεία είναι ασαφή και αντικρουόμενα στο σχέδιο κειμένου και τόσο κακής ποιότητας, που η πραγματική έννοια και η πρόθεση των κειμένων δεν είναι πάντα σαφής.
(1) Ένα νέο κενό στον ΓΚΠΔ μέσω «ψευδωνύμων» ή «ταυτοτήτων»; Φαίνεται ότι η Επιτροπή σχεδιάζει να περιορίσει σημαντικά τον ορισμό των «προσωπικών δεδομένων» – κάτι που θα είχε ως αποτέλεσμα να μην εφαρμόζεται ο ΓΚΠΔ σε πολλές περιπτώσεις. Το σχέδιο είναι να προστεθεί μια «υποκειμενική προσέγγιση» στο κείμενο του ΓΚΠΔ. Αυτό θα σήμαινε ότι εάν μια συγκεκριμένη εταιρεία δεν μπορεί να ταυτοποιήσει ένα άτομο, τα δεδομένα δεν είναι «προσωπικά» για αυτήν την εταιρεία – και ο ΓΚΠΔ παύει να ισχύει.
Επιπλέον, το προσχέδιο κάνει αναφορά σε εργαλεία ταυτοποίησης που είναι πιθανό να χρησιμοποιηθούν από κάθε συγκεκριμένο υπεύθυνο επεξεργασίας. Αυτό θα απαιτούσε περαιτέρω έρευνες και προβλέψεις σχετικά με την εσωτερική λειτουργία και τις μελλοντικές ενέργειες μιας συγκεκριμένης εταιρείας, ώστε να διαπιστωθεί εάν ένα άτομο εξακολουθεί να απολαμβάνει τα δικαιώματά του βάσει του ΓΚΠΔ. Στην πράξη, αυτό καθιστά τον ΓΚΠΔ σχεδόν αδύνατο να εφαρμοστεί και θα οδηγούσε σε ατελείωτες συζητήσεις και διαμάχες σχετικά με τις πραγματικές προθέσεις και τα σχέδια μιας εταιρείας.
Το προσχέδιο μπορεί τουλάχιστον να ερμηνευτεί ως εγκατάλειψη της ιδέας ότι οι τεχνικές για την «εξαίρεση» ενός ατόμου εξακολουθούν να καλύπτονται από τον νόμο. Αντίθετα, η διατύπωση του σχεδίου υπονοεί μια γενική εξαίρεση από τον ΓΚΠΔ εάν οι υπεύθυνοι επεξεργασίας χρησιμοποιούν απλώς «ψευδώνυμα» (όπως «user12473» ή τα δεδομένα από ένα cookie παρακολούθησης) αντί για ονόματα. Αυτό θα σήμαινε ότι ολόκληροι βιομηχανικοί τομείς που μέχρι στιγμής καλύπτονται από τον ΓΚΠΔ και λειτουργούν μέσω «ψευδωνύμων» ή τυχαίων αριθμών αναγνώρισης δεν θα καλύπτονται πλέον (πλήρως). Αυτό θα μπορούσε να ισχύει για σχεδόν όλες τις διαδικτυακές παρακολουθήσεις, τις διαδικτυακές διαφημίσεις και τους περισσότερους μεσίτες δεδομένων.
Αυτή η αλλαγή θα αποκλίνει επίσης σημαντικά από την μάλλον ευρεία ερμηνεία του Δικαστηρίου (ΔΕΕ). Υπάρχει νομολογία εδώ και περισσότερα από 20 χρόνια που υποστηρίζει μια ευρεία κατανόηση του τι συνιστά «προσωπικά δεδομένα».
Δεδομένου ότι ο όρος «προσωπικά δεδομένα» προέρχεται από το Άρθρο 8 του Χάρτη, είναι πολύ πιθανό μια τόσο βαθιά αλλαγή να μην αντέξει τον έλεγχο του ΔΕΕ.
(2) Το δικαίωμα πρόσβασης, διαγραφής ή διόρθωσης λαμβάνει «περιορισμό σκοπών». Μια σημαντική αλλαγή (κατόπιν γερμανικής απαίτησης) είναι ο περιορισμός της χρήσης των δικαιωμάτων των υποκειμένων των δεδομένων (όπως η πρόσβαση σε δεδομένα, η διόρθωση ή η διαγραφή) μόνο σε «σκοπούς προστασίας δεδομένων». Αντίθετα, αυτό σημαίνει ότι εάν ένας εργαζόμενος χρησιμοποιήσει ένα αίτημα πρόσβασης σε μια εργατική διαφορά σχετικά με απλήρωτες ώρες - για παράδειγμα, για να λάβει ένα αρχείο των ωρών εργασίας του - ο εργοδότης θα μπορούσε να το απορρίψει ως «καταχρηστικό». Το ίδιο θα ίσχυε και για τους δημοσιογράφους ή τους ερευνητές.
Σε μια ευρεία ερμηνεία, αυτό θα μπορούσε να προχωρήσει ακόμη περισσότερο. Εάν ένα άτομο ζητήσει να διαγράψει ψευδή δεδομένα πιστοληπτικής αξιολόγησης για να λάβει φθηνότερο δάνειο στην τράπεζα, ένα τέτοιο «δικαίωμα διόρθωσης» ψευδών οικονομικών πληροφοριών δεν μπορεί να ασκηθεί αποκλειστικά για «σκοπό προστασίας δεδομένων» αλλά για οικονομικό συμφέρον. Ακόμη και περιπτώσεις όπως το περίφημο «δικαίωμα στη λήθη» μπορεί να μην θεωρηθούν ως «συμφέρον προστασίας δεδομένων» εάν το άτομο που ζητά τη διαγραφή δημόσιων δεδομένων το πράττει για επιχειρηματικό συμφέρον.
Αυτή η ιδέα αποτελεί σαφή παραβίαση της νομολογίας του ΔΕΕ και του άρθρου 8(2) του Χάρτη. Το δικαίωμα στην πληροφοριακή αυτοδιάθεση αποσκοπεί ρητά στην εξάλειψη του πληροφοριακού χάσματος μεταξύ των χρηστών και των εταιρειών που κατέχουν τις πληροφορίες, καθώς όλο και περισσότερες πληροφορίες αποκρύπτονται σε διακομιστές εταιρειών (π.χ. αντίγραφα δελτίων ωραρίου εργασίας). Το ΔΕΕ έχει επανειλημμένα κρίνει ότι οι Ευρωπαίοι μπορούν να ασκήσουν αυτά τα δικαιώματα για οποιονδήποτε σκοπό - συμπεριλαμβανομένων των δικαστικών διαφορών ή της συγκέντρωσης αποδεικτικών στοιχείων.
Ο ΓΚΠΔ έχει ήδη περιορισμούς για την «καταχρηστική» χρήση των δικαιωμάτων του ΓΚΠΔ (όπως η άρνηση πρόσβασης σε δεδομένα ή η υποχρέωση καταβολής τέλους), αλλά η Επιτροπή θέλει τώρα επίσης να περιορίσει τους λόγους για τους οποίους μπορούν να ασκηθούν αυτά τα δικαιώματα.
(3) Η Google, η Meta και η OpenAI μπορούν πλέον να εκπαιδεύουν την Τεχνητή Νοημοσύνη με τα δεδομένα σας. Το σχέδιο της Επιτροπής προβλέπει επίσης αλλαγές στο άρθρο 6(1) και 9(2) του ΓΚΠΔ, ώστε να επιτρέπεται η επεξεργασία προσωπικών δεδομένων για την Τεχνητή Νοημοσύνη. Αυτό σημαίνει ότι μια τεχνολογία υψηλού κινδύνου, που τροφοδοτείται από τις πιο προσωπικές σκέψεις και τα ευαίσθητα δεδομένα των ανθρώπων, λαμβάνει γενική έγκριση βάσει του ΓΚΠΔ. Ταυτόχρονα, κάθε παραδοσιακή βάση δεδομένων ή κάμερα CCTV παραμένει αυστηρά ρυθμιζόμενη.
Το σχέδιο της Επιτροπής υπογραμμίζει την ανάγκη για «ελαχιστοποίηση των δεδομένων» (μια αρχή που ισχύει ήδη βάσει του άρθρου 5(1)(β) του ΓΚΠΔ) και απαιτεί τη θέσπιση αόριστων «διασφαλίσεων». Ωστόσο, δεν υπάρχουν τεχνικά κριτήρια αναφοράς ή πρότυπα για τέτοιες «διασφαλίσεις». Η μόνη συγκεκριμένη υποτιθέμενη προστασία είναι το «δικαίωμα αντίρρησης». Αλλά αυτή η ιδέα είναι καταδικασμένη να αποτύχει στις περισσότερες περιπτώσεις:
- Αυτό θα σήμαινε ότι οι χρήστες στην ΕΕ θα πρέπει πρώτα να ενημερωθούν ότι τα δεδομένα τους χρησιμοποιούνται στην πραγματικότητα για εκπαίδευση στην Τεχνητή Νοημοσύνη, κάτι που είναι σε μεγάλο βαθμό αδύνατο. Εταιρείες όπως η OpenAI δεν έχουν ιδέα ποια προσωπικά δεδομένα ανήκουν σε ποιον, πόσο μάλλον ποια στοιχεία επικοινωνίας έχουν. Επομένως, οι άνθρωποι δεν θα μάθουν ποτέ ότι τα προσωπικά τους δεδομένα χρησιμοποιούνται εξαρχής.
- Αν οι άνθρωποι το ανακαλύψουν ούτως ή άλλως, θα πρέπει να έχουν συνεχώς αντιρρήσεις για όλες αυτές τις εταιρείες. Αυτό σημαίνει ότι θα πρέπει να βρεθούν εκατοντάδες ελεγκτές, να συμπληρωθούν φόρμες και να επαναληφθεί η άσκηση για τον καθένα που κάνει εκπαίδευση στην Τεχνητή Νοημοσύνη ξεχωριστά.
- Τέλος, η ένσταση και τα σχετικά δεδομένα θα πρέπει να «αντιστοιχιστούν», παρά το γεγονός ότι οι χρήστες δεν γνωρίζουν εάν τα δεδομένα τους χρησιμοποιούνται καθόλου - και εάν ναι, ποια δεδομένα χρησιμοποιούνται. Με τη σειρά του, ο ελεγκτής ως επί το πλείστον δεν θα μπορεί να εκτελέσει μια ένσταση όταν γίνεται συλλογή ολόκληρου του διαδικτύου.
Συμπέρασμα: Η Google, η Meta, η Microsoft ή η OpenAI μπορούν να συνεχίσουν να βγάζουν τρισεκατομμύρια (!) με δεδομένα που δημιουργούνται από ευρωπαϊκές εταιρείες, καλλιτέχνες ή ιδιώτες, ενώ παράλληλα λαμβάνουν «ελεύθερη άδεια» από τον Ευρωπαίο νομοθέτη.
(4) Η λειτουργία συστημάτων Τεχνητής Νοημοσύνης αποκτά «μπαλαντέρ GDPR»; Οι αλλαγές στο άρθρο 6(1) και 9(2) του GDPR προχωρούν ακόμη περισσότερο από το αναμενόμενο. Δεν θα προνομιούται μόνο η ανάπτυξη συστημάτων Τεχνητής Νοημοσύνης, αλλά και η λειτουργία ενός συστήματος Τεχνητής Νοημοσύνης. Ο όρος «λειτουργία» δεν ορίζεται, αλλά πιθανότατα θα καλύπτει κάθε είδους επεξεργασία δεδομένων.
Αυτό θα οδηγούσε σε μια τερατώδη κατάσταση: Εάν τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία μέσω μιας παραδοσιακής βάσης δεδομένων, ενός φύλλου Excel ή λογισμικού, μια εταιρεία πρέπει να βρει μια νομική βάση βάσει του άρθρου 6(1) του ΓΚΠΔ. Ωστόσο, εάν η ίδια επεξεργασία γίνεται μέσω ενός συστήματος τεχνητής νοημοσύνης, μπορεί να χαρακτηριστεί ως «έννομο συμφέρον» βάσει του άρθρου 6(1)(στ) του ΓΚΠΔ. Αυτό θα έδινε προτεραιότητα σε μια (επικίνδυνη) τεχνολογία έναντι όλων των άλλων μορφών επεξεργασίας δεδομένων και θα ήταν αντίθετο με την «τεχνολογικά ουδέτερη» προσέγγιση του ΓΚΠΔ.
(5) Ευαίσθητα δεδομένα όπως η υγεία, η πολιτική ή η σεξουαλική ζωή καλύπτονται μόνο εάν «αποκαλύπτονται άμεσα»; Το άρθρο 9 του ΓΚΠΔ προστατεύει ειδικά τα «ευαίσθητα» δεδομένα σχετικά με την υγεία, τις πολιτικές πεποιθήσεις, τη σεξουαλική ζωή, τον σεξουαλικό προσανατολισμό ή τη συμμετοχή σε συνδικάτα των ανθρώπων. Μέχρι στιγμής, το ΔΕΕ έκρινε ότι οι εν λόγω πληροφορίες προστατεύονται επίσης εάν μπορούν να αφαιρεθούν μόνο από άλλες πληροφορίες. Η Επιτροπή προσπαθεί τώρα να ανατρέψει τον νόμο και θέλει να περιορίσει τις προστασίες του άρθρου 9 μόνο εάν οι εν λόγω ευαίσθητες πληροφορίες «αποκαλύπτονται άμεσα».
Ωστόσο, τα άτομα που «αποκαλύπτουν άμεσα» ότι είναι έγκυα, έχουν καρκίνο ή είναι ομοφυλόφιλα συνήθως χρειάζονται αυτήν την προστασία λιγότερο από άτομα για τα οποία τέτοιες ευαίσθητες πληροφορίες μπορούν να «αφαιρεθούν» μόνο από άλλες πληροφορίες. Ένα κλασικό παράδειγμα αυτού είναι οι εργοδότες που χρησιμοποιούν «μεγάλα δεδομένα» για να συμπεράνουν ότι μια γυναίκα είναι έγκυος – για να απολύσουν στη συνέχεια γρήγορα αυτό το άτομο για να αποφύγουν την κοινωνική πληρωμή και τα συναφή. Αυτή τη στιγμή, αυτό θα εμπίπτει στο άρθρο 9 του ΓΚΠΔ. Στο μέλλον, θα περιορίζεται σε προστασίες βάσει του άρθρου 6 του ΓΚΠΔ – ενώ ένα άτομο που ανακοινώνει δημόσια την εγκυμοσύνη του θα εμπίπτει στο άρθρο 9 του ΓΚΠΔ.
Από την οπτική γωνία των ατόμων, ένας τέτοιος περιορισμός δεν έχει νόημα, αλλά η Επιτροπή φαίνεται να ενδιαφέρεται κυρίως για εταιρείες που θέλουν να χρησιμοποιήσουν τέτοια δεδομένα για εκπαίδευση στην Τεχνητή Νοημοσύνη. Το φιλτράρισμα για το "Είμαι έγκυος" είναι ευκολότερο από το φιλτράρισμα των 1000 σημάτων που επιτρέπουν στο Meta ή την Google να καταλάβουν ότι ένα άτομο είναι έγκυος.
Αυτή η αλλαγή θα παραβίαζε το Άρθρο 6 της Σύμβασης 108 του Συμβουλίου της Ευρώπης , η οποία χρησιμοποιεί την τρέχουσα διατύπωση του ΓΚΠΔ («αποκαλυπτική») και έχει κυρωθεί από 55 χώρες.
(6) Ανάκτηση προσωπικών δεδομένων από τη συσκευή σας; Μέχρι στιγμής, το Άρθρο 5(3) του ePrivacy έχει προστατεύσει τους χρήστες από την απομακρυσμένη πρόσβαση σε δεδομένα που είναι αποθηκευμένα σε «τερματικό εξοπλισμό», όπως υπολογιστές ή smartphones. Αυτό βασίζεται στο δικαίωμα προστασίας της επικοινωνίας βάσει του Άρθρου 7 του Χάρτη και διασφαλίζει ότι οι εταιρείες δεν μπορούν να «αναζητούν εξ αποστάσεως» συσκευές.
Ωστόσο, η πρόταση της Επιτροπής επιτρέπει πλέον - ανάλογα με την ανάγνωση του σχεδίου - έως και 10 (!) νομικές βάσεις για την εξαγωγή πληροφοριών από μια προσωπική συσκευή - ή την τοποθέτηση τεχνολογίας παρακολούθησης στη συσκευή σας (όπως "cookies"). Οι τέσσερις πράξεις επεξεργασίας που περιλαμβάνονται στη "λευκή λίστα" για την πρόσβαση σε τερματικό εξοπλισμό θα περιλαμβάνουν πλέον "συγκεντρωτικά στατιστικά στοιχεία" και "λόγους ασφαλείας". Ενώ η γενική κατεύθυνση των αλλαγών είναι κατανοητή, η διατύπωση είναι εξαιρετικά ανεκτική και θα επιτρέπει επίσης υπερβολικές "αναζητήσεις" σε συσκευές χρηστών για (μικροσκοπικούς) λόγους ασφαλείας.
Επιπλέον, θα ήταν διαθέσιμες όλες οι νομικές βάσεις βάσει του Άρθρου 6(1) του ΓΚΠΔ. Σε συνδυασμό, αυτό θα μπορούσε να οδηγήσει σε παράλογα αποτελέσματα: η εκπαίδευση στην Τεχνητή Νοημοσύνη θα αποτελούσε «έννομο συμφέρον» και οι εταιρείες θα μπορούσαν πλέον να έχουν πρόσβαση εξ αποστάσεως σε προσωπικά δεδομένα στη συσκευή σας για ένα τέτοιο «έννομο συμφέρον». Κατά συνέπεια, θα ήταν πιθανή η ερμηνεία του νόμου ότι εταιρείες όπως η Google μπορούν να χρησιμοποιούν δεδομένα από οποιαδήποτε εφαρμογή Android για να εκπαιδεύσουν την Τεχνητή Νοημοσύνη Gemini . Ειδικά οι «Μεγάλες Τεχνολογικές» εταιρείες πιθανότατα θα είχαν μια ακόμη πιο εκτεταμένη ερμηνεία του σχεδίου κειμένου. Είναι αμφισβητήσιμο εάν οι συντάκτες αυτού του σχεδίου νόμου έχουν σκεφτεί ποτέ αυτούς τους συνδυασμούς.
