Η noyb προτρέπει 11 DPAs να σταματήσουν αμέσως την κατάχρηση προσωπικών δεδομένων από τη Meta για τεχνητή νοημοσύνη

This page has been translated automatically. Read the original or leave us a message if something is not right.
Forced Consent & Consent Bypass
 /  06 Ιούνιος 2024

Τις τελευταίες ημέρες, η Meta ενημέρωσε εκατομμύρια Ευρωπαίους ότι η πολιτική απορρήτου της αλλάζει για άλλη μια φορά. Μόνο μετά από προσεκτικότερη εξέταση των συνδέσμων στην ειδοποίηση κατέστη σαφές ότι η εταιρεία σχεδιάζει να χρησιμοποιήσει χρόνια προσωπικών αναρτήσεων, ιδιωτικών εικόνων ή δεδομένων παρακολούθησης στο διαδίκτυο για μια απροσδιόριστη "τεχνολογία AI" που μπορεί να απορροφήσει προσωπικά δεδομένα από οποιαδήποτε πηγή και να μοιραστεί οποιαδήποτε πληροφορία με απροσδιόριστους «τρίτους». Αντί να ζητά από τους χρήστες τη συγκατάθεσή τους (opt-in), η Meta υποστηρίζει ότι έχει έννομο συμφέρον που υπερισχύει του θεμελιώδους δικαιώματος στην προστασία δεδομένων και της ιδιωτικής ζωής των ευρωπαίων χρηστών. Μόλις τα δεδομένα τους εισέλθουν στο σύστημα, οι χρήστες δεν φαίνεται να έχουν καμία επιλογή να τα αφαιρέσουν ποτέ ("δικαίωμα στη λήθη"). Η noyb έχει πλέον υποβάλει καταγγελίες σε 11 ευρωπαϊκές χώρες, ζητώντας από τις αρχές να ξεκινήσουν μια επείγουσα διαδικασία για να σταματήσει αμέσως αυτή η αλλαγή, προτού τεθεί σε ισχύ στις 26 Ιουνίου 2024.

Two people sitting at laptops. In the background you can see the Meta logo and the slogan "Meta AI".

Όλα τα μη δημόσια δεδομένα για κάποια απροσδιόριστη μελλοντική "τεχνολογία AI". Σε αντίθεση με την ήδη προβληματική κατάσταση των εταιρειών που χρησιμοποιούν ορισμένα (δημόσια) δεδομένα για να εκπαιδεύσουν ένα συγκεκριμένο σύστημα AI (π.χ. ένα chatbot), η νέα πολιτική απορρήτου της Meta λέει βασικά ότι η εταιρεία θέλει να λάβει όλα τα δημόσια και μη δημόσια δεδομένα χρηστών που έχει συλλέξει από τότε 2007 και χρησιμοποιήστε το για κάθε απροσδιόριστο τύπο τρέχουσας και μελλοντικής «τεχνολογίας τεχνητής νοημοσύνης». Αυτό περιλαμβάνει τους πολλούς «αδρανείς» λογαριασμούς του Facebook με τους οποίους οι χρήστες σχεδόν δεν αλληλεπιδρούν πλέον – αλλά εξακολουθούν να περιέχουν τεράστιες ποσότητες προσωπικών δεδομένων. Επιπλέον, η Meta λέει ότι μπορεί να συλλέξει πρόσθετες πληροφορίες από οποιοδήποτε "τρίτο μέρος" ή να αφαιρέσει δεδομένα από διαδικτυακές πηγές. Η μόνη εξαίρεση φαίνεται να είναι οι συνομιλίες μεταξύ ατόμων – αλλά ακόμη και οι συνομιλίες με μια εταιρεία είναι δίκαιο παιχνίδι. Οι χρήστες δεν λαμβάνουν καμία πληροφορία σχετικά με τους σκοπούς της «τεχνολογίας AI» – κάτι που αντίκειται στις απαιτήσεις του GDPR. Η πολιτική απορρήτου της Meta θα επέτρεπε θεωρητικά για οποιονδήποτε σκοπό. Αυτή η αλλαγή είναι ιδιαίτερα ανησυχητική γιατί αφορά τα προσωπικά δεδομένα περίπου 4 δισεκατομμυρίων χρηστών Meta, τα οποία θα χρησιμοποιηθούν για πειραματική τεχνολογία ουσιαστικά χωρίς περιορισμό. Τουλάχιστον οι χρήστες στην ΕΕ/ΕΟΧ θα πρέπει (θεωρητικά) να προστατεύονται από τέτοιες καταχρήσεις από τον GDPR.

Max Schrems: "Η Meta λέει βασικά ότι μπορεί να χρησιμοποιήσει "οποιαδήποτε δεδομένα από οποιαδήποτε πηγή για οποιονδήποτε σκοπό και να τα κάνει διαθέσιμα σε οποιονδήποτε στον κόσμο", αρκεί να γίνεται μέσω "τεχνολογίας AI". Αυτό είναι σαφώς το αντίθετο του GDPR Η «τεχνολογία τεχνητής νοημοσύνης» είναι ένας εξαιρετικά ευρύς όρος, όπως η «χρήση των δεδομένων σας σε βάσεις δεδομένων», δεν έχει πραγματικό νόμιμο όριο, επομένως θα μπορούσε να είναι ένα απλό chatbot , η εξαιρετικά επιθετική εξατομικευμένη διαφήμιση ή ακόμα και ένα drone δολοφόνος λέει επίσης ότι τα δεδομένα χρήστη μπορούν να διατεθούν σε οποιοδήποτε «τρίτο μέρος» - που σημαίνει οποιοσδήποτε στον κόσμο.

Τα συμφέροντα της Meta υπερισχύουν των δικαιωμάτων των χρηστών; Κανονικά, η επεξεργασία προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση είναι παράνομη από προεπιλογή. Ως εκ τούτου, η Meta πρέπει να βασίζεται σε μία από τις έξι νομικές βάσεις σύμφωνα με το άρθρο 6 παράγραφος 1 του GDPR για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αν και η λογική επιλογή θα ήταν η συναίνεση, η Meta ισχυρίζεται και πάλι ότι έχει ένα «νόμιμο συμφέρον» που υπερισχύει των θεμελιωδών δικαιωμάτων των χρηστών. Η Meta το είχε υποστηρίξει στο παρελθόν στο πλαίσιο της χρήσης όλων των προσωπικών δεδομένων για διαφήμιση – και απορρίφθηκε από το Δικαστήριο ( βλ. C-252/21 ). Τώρα η Meta χρησιμοποιεί την ίδια νομική βάση για να δικαιολογήσει μια ακόμη ευρύτερη και πιο επιθετική χρήση των προσωπικών δεδομένων των ανθρώπων.

Max Schrems: «Το Ευρωπαϊκό Δικαστήριο έχει ήδη καταστήσει σαφές ότι η Meta δεν έχει «νόμιμο συμφέρον» να παρακάμψει το δικαίωμα των χρηστών στην προστασία δεδομένων όταν πρόκειται για διαφήμιση. Ωστόσο, η εταιρεία προσπαθεί να χρησιμοποιήσει τα ίδια επιχειρήματα για την εκπαίδευση απροσδιόριστη «τεχνολογία AI» Φαίνεται ότι η Meta αγνοεί και πάλι κατάφωρα τις αποφάσεις του ΔΕΕ».

Η ένσταση είναι φάρσα. Η Meta προσπαθεί ακόμη και να καταστήσει τους χρήστες υπεύθυνους για τη φροντίδα του απορρήτου τους, κατευθύνοντάς τους σε μια φόρμα αντιρρήσεων (opt-out) που οι χρήστες υποτίθεται ότι πρέπει να συμπληρώσουν εάν δεν θέλουν η Meta να χρησιμοποιεί όλα τα δεδομένα τους. Ενώ θεωρητικά μια εξαίρεση θα μπορούσε να εφαρμοστεί με τέτοιο τρόπο ώστε να απαιτεί μόνο ένα κλικ (όπως το κουμπί «κατάργηση εγγραφής» στα ενημερωτικά δελτία), η Meta καθιστά εξαιρετικά περίπλοκη την αντίρρηση, ακόμη και απαιτώντας προσωπικούς λόγους. Μια τεχνική ανάλυση των συνδέσμων εξαίρεσης έδειξε μάλιστα ότι η Meta απαιτεί σύνδεση για να προβάλει μια κατά τα άλλα δημόσια σελίδα. Συνολικά, η Meta απαιτεί από περίπου 400 εκατομμύρια ευρωπαίους χρήστες να «αντιτεθούν», αντί να ζητήσουν τη συγκατάθεσή τους.

Max Schrems: "Η μετατόπιση της ευθύνης στον χρήστη είναι εντελώς παράλογη. Ο νόμος απαιτεί από τη Meta να λάβει συγκατάθεση συμμετοχής και όχι να παρέχει μια κρυφή και παραπλανητική φόρμα εξαίρεσης. Εάν η Meta θέλει να χρησιμοποιήσει τα δεδομένα σας, πρέπει να ζητήσει Αντίθετα, κάνουν τους χρήστες να παρακαλούν να αποκλείονται. Μας εξέπληξε ιδιαίτερα το γεγονός ότι η Meta μπήκε στον κόπο να δημιουργήσει τόνους μικρών περισπασμών για να διασφαλίσει ότι μόνο ένας μικρός αριθμός χρηστών θα έκανε τον κόπο να αντιταχθεί.

Το Irish DPC είναι συνένοχο (και πάλι). Σύμφωνα με αναφορές , αυτή η κατάφωρη παραβίαση του GDPR βασίζεται (και πάλι) σε μια «συμφωνία» με την Ιρλανδική Επιτροπή Προστασίας Δεδομένων (το DPC είναι η ρυθμιστική αρχή της Meta στην ΕΕ). Η DPC είχε προηγουμένως μια συμφωνία με τη Meta που επέτρεπε στην εταιρεία να παρακάμψει τον GDPR – και έληξε με πρόστιμο 395 εκατομμυρίων ευρώ κατά της Meta αφού το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) απέρριψε το ιρλανδικό DPC.

Max Schrems: "Φαίνεται ότι η νέα διοίκηση της DPC συνεχίζει απλώς να κάνει παράνομες "συμφωνίες" με μεγάλες εταιρείες τεχνολογίας από τις ΗΠΑ. Είναι εντυπωσιακό το γεγονός ότι η DPC συνεχίζει να επιτρέπει την κατάχρηση των μη δημοσίων προσωπικών δεδομένων περίπου 400 εκατομμύρια ευρωπαίοι χρήστες παραμένουν ανεξέλεγκτοι».

Προθεσμία 26 Ιουνίου: Ζητήθηκε επείγουσα διαδικασία. Δεδομένου ότι η επεξεργασία της Meta για άγνωστη "τεχνολογία τεχνητής νοημοσύνης" έχει ήδη τεθεί σε ισχύ στις 26 Ιουνίου 2024, και η Meta ισχυρίζεται ότι δεν υπάρχει επιλογή να εξαιρεθείτε αργότερα για να αφαιρεθούν τα δεδομένα σας (όπως προβλέπεται στο άρθρο 17 GDPR και το «δικαίωμα στη λήθη»), η noyb ζήτησε μια «επείγουσα διαδικασία» σύμφωνα με το άρθρο 66 GDPR. Οι αρχές προστασίας δεδομένων (ΑΠΔ) σε 11 ευρωπαϊκές χώρες (Αυστρία, Βέλγιο, Γαλλία, Γερμανία, Ελλάδα, Ιταλία, Ιρλανδία, Ολλανδία, Νορβηγία, Πολωνία και Ισπανία) έλαβαν ένα τέτοιο αίτημα για λογαριασμό τοπικών υποκειμένων δεδομένων. Το άρθρο 66 επιτρέπει στις ΑΠΔ να εκδίδουν προκαταρκτικές παύσεις σε καταστάσεις όπως αυτή που περιγράφεται παραπάνω και επιτρέπει τη λήψη απόφασης σε ολόκληρη την ΕΕ μέσω του EDPB. Η ιρλανδική DPC και η Meta Ireland έχουν ήδη υποβληθεί σε δύο «Επείγουσες Δεσμευτικές Αποφάσεις» από την EDPB (βλ. Επείγουσα Δεσμευτική Απόφαση 01/2023 και Επείγουσα Δεσμευτική Απόφαση 01/2021 ) σε παρόμοιες καταστάσεις στο παρελθόν.

Max Schrems: "Ελπίζουμε ότι οι αρχές εκτός της Ιρλανδίας θα λάβουν γρήγορα μέτρα και τουλάχιστον θα σταματήσουν αυτό το έργο για πλήρη έρευνα. Το EDPB έχει ήδη εκδώσει δύο τέτοιες επείγουσες αποφάσεις κατά της Meta και του Ιρλανδού Επιτρόπου Προστασίας Δεδομένων. Είναι λυπηρό να βλέπουμε ότι αυτό το μέτρο φαίνεται να είναι απαραίτητο ξανά και ξανά».

Πρόσθετα προβλήματα. Εκτός από την έλλειψη οποιασδήποτε νομικής βάσης για την απορρόφηση δεδομένων χρηστών αξίας μεγαλύτερης από μια δεκαετία, η Meta έχει δηλώσει προηγουμένως ότι δεν είναι τεχνικά σε θέση να διακρίνει τα δεδομένα από χρήστες στην ΕΕ/ΕΟΧ και άλλες χώρες όπου οι άνθρωποι δεν απολαμβάνουν Προστασία GDPR. Η Meta είπε επίσης ότι δεν μπορεί να κάνει διάκριση μεταξύ ευαίσθητων δεδομένων σύμφωνα με το άρθρο 9 του ΓΚΠΔ, όπως η εθνικότητα, οι πολιτικές απόψεις, οι θρησκευτικές πεποιθήσεις (για τις οποίες το επιχείρημα του «νόμιμου συμφέροντος» δεν είναι διαθέσιμο σύμφωνα με το νόμο) και άλλα δεδομένα για τα οποία υπάρχει «νόμιμο τόκοι» θα μπορούσε θεωρητικά να διεκδικηθεί. Με την εισαγωγή της τεχνολογίας AI, η Meta φαίνεται να έχει παραβιάσει ορισμένες άλλες διατάξεις του GDPR, συμπεριλαμβανομένων των αρχών GDPR, των κανόνων διαφάνειας και των κανόνων λειτουργίας. Συνολικά, οι καταγγελίες του noyb απαριθμούν παραβιάσεις τουλάχιστον των άρθρων 5 παράγραφοι 1 και 2, 6 παράγραφος 1, 9 παράγραφος 1, 12 παράγραφοι 1 και (2), 13 παράγραφοι 1 και 2, 17 (1)(c), 18(1)(d), 19, 21(1) και 25 GDPR.

Max Schrems: "Με την προσέγγιση της απλής χρήσης οποιωνδήποτε δεδομένων για οποιονδήποτε σκοπό για οποιαδήποτε "τεχνολογία AI", η Meta έχει ξεκάθαρα εγκαταλείψει σχεδόν ολόκληρο το πλαίσιο GDPR. Καταμετρήσαμε παραβιάσεις τουλάχιστον δέκα άρθρων του νόμου."

Επόμενα βήματα. Οι αρμόδιες ΑΠΔ θα πρέπει τώρα να λάβουν μια γρήγορη απόφαση εάν θα κινήσουν διαδικασία κατεπείγοντος ή θα εξετάσουν τις καταγγελίες με κανονική διαδικασία. Πριν από δύο ημέρες, το νορβηγικό DPA έχει ήδη δημοσιεύσει μια ανάρτηση στο blog υποστηρίζοντας ότι είναι «αμφίβολο» («tvilsomt») εάν η προσέγγιση του Meta είναι νόμιμη. Μια διαδικασία κατεπείγοντος θα μπορούσε να οδηγήσει σε ταχεία προσωρινή απαγόρευση και σε τελική απόφαση από την EDPB μέσα σε λίγους μήνες. Ενώ οι σημερινές καταγγελίες είναι ένα πρώτο βήμα, φαίνεται εύλογο ότι άλλοι οργανισμοί θα ακολουθήσουν ασφαλιστικά μέτρα, υποθέσεις αστικού δικαίου ή ακόμα και ομαδικές αγωγές, εάν η Meta προχωρήσει στα σχέδιά της. Αυτό θα μπορούσε ενδεχομένως να πνίξει τον Meta σε έναν άλλο γύρο νομικών προβλημάτων στην Ευρωπαϊκή Ένωση. Μόνο οι ενέργειες της noyb κατά της Meta έχουν οδηγήσει μέχρι στιγμής σε διοικητικά πρόστιμα άνω του 1,5 δισεκατομμυρίου ευρώ.

*Η καταγγελία στη Νορβηγία υποβλήθηκε από κοινού με το Νορβηγικό Συμβούλιο Καταναλωτών ("NCC"). Βρείτε περισσότερες πληροφορίες στο www.forbrukerradet.no .