Πρόσφατα, το Twitter International (τώρα μετονομάζεται ως "X") άρχισε να χρησιμοποιεί παράνομα τα προσωπικά δεδομένα περισσότερων από 60 εκατομμυρίων χρηστών στην ΕΕ/ΕΟΧ για να εκπαιδεύσει τις τεχνολογίες τεχνητής νοημοσύνης του (όπως το "Grok") χωρίς τη συγκατάθεσή τους. Σε αντίθεση με τη Meta (η οποία πρόσφατα αναγκάστηκε επίσης να σταματήσει την εκπαίδευση AI στην ΕΕ), το Twitter δεν ενημέρωσε καν τους χρήστες του εκ των προτέρων. Αυτό πήγε πολύ μακριά ακόμη και για την Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC): Την περασμένη εβδομάδα, ξεκίνησε δικαστικές διαδικασίες κατά του Twitter για να σταματήσει την παράνομη επεξεργασία, αλλά η ιρλανδική DPC φαίνεται να έχει σταματήσει να εφαρμόζει πλήρως τον GDPR. Το noyb ακολουθεί τώρα εννέα καταγγελίες.
- Καταγγελίες που υποβλήθηκαν σε Αυστρία , Βέλγιο , Γαλλία , Ελλάδα , Ιρλανδία , Ιταλία , Ολλανδία , Ισπανία και Πολωνία
- Δικαστήριο της υπόθεσης DPC -v- Twitter στην Ιρλανδία
- Αναφορά ειδήσεων σχετικά με τη νομική δράση από το ιρλανδικό DPC
Προσωπικά δεδομένα 60 εκατομμυρίων ανθρώπων για εκπαίδευση τεχνητής νοημοσύνης; Καθώς η αποτυχημένη προσπάθεια της Meta να χρησιμοποιήσει παράνομα τα προσωπικά δεδομένα ανθρώπων για έργα τεχνητής νοημοσύνης δεν έστειλε ένα αρκετά σαφές μήνυμα, το Twitter είναι η επόμενη αμερικανική εταιρεία που απλώς απορροφά δεδομένα χρηστών της ΕΕ για να εκπαιδεύσει την τεχνητή νοημοσύνη. Το Twitter άρχισε να τροφοδοτεί αμετάκλητα δεδομένα ευρωπαίων χρηστών στην τεχνολογία AI «Grok» τον Μάιο του 2024, χωρίς ποτέ να τους ενημερώσει ή να ζητήσει τη συγκατάθεσή τους.
Το Irish DPC αναλαμβάνει δράση με μισή καρδιά. Η κραυγαλέα άγνοια του νόμου από το Twitter προκάλεσε μια εκπληκτική απάντηση από την (διαβόητη φιλοεταιρική) ιρλανδική DPC: Η αρχή έχει κινήσει δικαστικά μέτρα κατά του Twitter για να σταματήσει την παράνομη επεξεργασία και να επιβάλει εντολή συμμόρφωσης των συστημάτων του με τον GDPR. Ωστόσο, μια ακρόαση στο δικαστήριο την περασμένη Πέμπτη αποκάλυψε ότι το DPC φαίνεται να ασχολήθηκε κυρίως με τα λεγόμενα μέτρα « μετριασμού » και το γεγονός ότι το Twitter άρχισε να επεξεργάζεται ενώ εξακολουθούσε να βρίσκεται σε υποχρεωτική διαδικασία διαβούλευσης με το DPC σύμφωνα με το άρθρο 36 GDPR. Το DPC δεν φαίνεται να επιδιώκει τις βασικές παραβιάσεις.
Max Schrems, Πρόεδρος του noyb : « Τα δικαστικά έγγραφα δεν είναι δημόσια, αλλά από την προφορική ακρόαση καταλαβαίνουμε ότι το DPC δεν αμφισβήτησε τη νομιμότητα αυτής της ίδιας της επεξεργασίας. Φαίνεται ότι το DPC ανησυχούσε για τα λεγόμενα «μέτρα μετριασμού» και την έλλειψη συνεργασίας από το Twitter . Το DPC φαίνεται να αναλαμβάνει δράση στα άκρα, αλλά αποφεύγει το βασικό πρόβλημα .»
Το noyb κάνει αίτηση για πλήρη διερεύνηση. Ήδη κατά την πρώτη ακρόαση, η ιρλανδική DPC συμφώνησε με το Twitter (μέσω μιας λεγόμενης «δέσμευσης») να σταματήσει απλώς την περαιτέρω εκπαίδευση του αλγόριθμου με δεδομένα της ΕΕ μέχρι τον Σεπτέμβριο. Δεν ελήφθη καμία απόφαση για τη νομιμότητα και πολλά ερωτήματα παραμένουν αναπάντητα. Για παράδειγμα: Τι συνέβη με τα δεδομένα της ΕΕ που είχαν ήδη απορριφθεί στα συστήματα και πώς μπορεί το Twitter (σωστά) να διαχωρίσει δεδομένα ΕΕ και εκτός ΕΕ; Για αυτόν τον λόγο, η noyb έχει υποβάλει καταγγελίες GDPR στις αρχές προστασίας δεδομένων σε εννέα χώρες, για να διασφαλίσει ότι τα βασικά νομικά προβλήματα σχετικά με την εκπαίδευση τεχνητής νοημοσύνης του Twitter αντιμετωπίζονται πλήρως. Όσο περισσότερες άλλες ΑΠΔ της ΕΕ εμπλέκονται στη διαδικασία, τόσο μεγαλύτερη είναι η πίεση στην ιρλανδική DPC να συνεχίσει την υπόθεσή της και στο Twitter να συμμορφωθεί πραγματικά με τη νομοθεσία της ΕΕ.
Max Schrems, Πρόεδρος του noyb : « Έχουμε δει αμέτρητες περιπτώσεις ανεπαρκούς και μερικής επιβολής από το DPC τα τελευταία χρόνια. Θέλουμε να διασφαλίσουμε ότι το Twitter συμμορφώνεται πλήρως με τη νομοθεσία της ΕΕ, η οποία –τουλάχιστον– απαιτεί να ζητείται η συναίνεση των χρηστών σε αυτήν την περίπτωση. ”
Απλή λύση: Απλώς ρωτήστε τους χρήστες! Ο GDPR της ΕΕ παρέχει μια εύκολη λύση στους χρήστες να «δωρίσουν» τα προσωπικά τους δεδομένα για την ανάπτυξη τεχνητής νοημοσύνης - απλώς ζητήστε από τους χρήστες τη σαφή συγκατάθεσή τους για μια τέτοια επεξεργασία. Εάν μόνο ένας μικρός αριθμός των 60 εκατομμυρίων χρηστών του Twitter συναινούσε στην εκπαίδευση των συστημάτων τεχνητής νοημοσύνης του, το Twitter θα είχε περισσότερα από αρκετά δεδομένα εκπαίδευσης για οποιοδήποτε νέο μοντέλο τεχνητής νοημοσύνης. Ωστόσο, το να ζητάς άδεια από τους ανθρώπους δεν είναι η τρέχουσα προσέγγιση του Twitter, αλλά απλώς μεταφέρει δεδομένα χρήστη χωρίς πληροφορίες στους χρήστες ή άδεια από αυτούς.
Max Schrems, Πρόεδρος της noyb : « Οι εταιρείες που αλληλεπιδρούν απευθείας με τους χρήστες πρέπει απλώς να τους δείξουν ένα μήνυμα ναι/όχι πριν χρησιμοποιήσουν τα δεδομένα τους. Το κάνουν τακτικά για πολλά άλλα πράγματα, επομένως θα ήταν σίγουρα δυνατό και για εκπαίδευση τεχνητής νοημοσύνης. ”
Τα επιχειρηματικά συμφέροντα υπερισχύουν των θεμελιωδών δικαιωμάτων των χρηστών; Κανονικά, η επεξεργασία προσωπικών δεδομένων είναι παράνομη εξ ορισμού στην Ευρωπαϊκή Ένωση. Επομένως, για την επεξεργασία προσωπικών δεδομένων, το Twitter πρέπει να βασίζεται σε μία από τις έξι νομικές βάσεις σύμφωνα με το άρθρο 6 παράγραφος 1 του GDPR. Αν και η λογική επιλογή θα ήταν η συναίνεση συμμετοχής, το Twitter –όπως και η Meta– ισχυρίζεται ότι έχει ένα « νόμιμο συμφέρον » που υπερισχύει των θεμελιωδών δικαιωμάτων των χρηστών. Αυτή η προσέγγιση έχει ήδη απορριφθεί από το Δικαστήριο σε μια υπόθεση που αφορούσε τη χρήση προσωπικών δεδομένων από τη Meta για στοχευμένη διαφήμιση. Ωστόσο, φαίνεται ότι η ιρλανδική DPC έχει « διαπραγματευτεί » τους τελευταίους μήνες την προσέγγιση του « νόμιμου συμφέροντος » σε μια διαδικασία « διαβούλευσης » σύμφωνα με το άρθρο 36 GDPR.
Max Schrems: « Τα γεγονότα που γνωρίζουμε τώρα από τις ιρλανδικές δικαστικές διαδικασίες δείχνουν ότι το DPC δεν αμφισβητεί πραγματικά το βασικό ζήτημα, το οποίο είναι η λήψη όλων αυτών των προσωπικών δεδομένων χωρίς τη συγκατάθεση του χρήστη. ”
Πληροφορίες παρέχονται μέσω "viral" X post. Όπως αναφέρθηκε παραπάνω, το Twitter δεν ενημέρωσε ποτέ προληπτικά τους χρήστες του ότι τα προσωπικά τους δεδομένα χρησιμοποιούνται για την εκπαίδευση της τεχνητής νοημοσύνης – παρόλο που τους στέλνει ανεπιθύμητα μηνύματα με ειδοποιήσεις κάθε φορά που κάποιος κάνει like ή re-tweet στις αναρτήσεις του. Αντίθετα, φαίνεται ότι οι περισσότεροι έμαθαν για τη νέα προεπιλεγμένη ρύθμιση μέσω μιας viral ανάρτησης από έναν χρήστη με το όνομα «@EasyBakedOven» στις 26 Ιουλίου 2024 - δύο μήνες μετά την έναρξη της εκπαίδευσης AI.
Τι θα λέγατε για άλλα δικαιώματα GDPR; Προς το παρόν, οι πάροχοι συστημάτων τεχνητής νοημοσύνης ισχυρίζονται σε μεγάλο βαθμό ότι δεν είναι σε θέση να συμμορφωθούν με άλλες απαιτήσεις GDPR, όπως το δικαίωμα στη λήθη (άρθρο 17 GDPR), όταν τα δεδομένα έχουν ενσωματωθεί στα συστήματά τους AI. Ομοίως, οι εταιρείες τείνουν να ισχυρίζονται ότι δεν μπορούν να απαντήσουν σε αιτήματα για λήψη αντιγράφου των προσωπικών δεδομένων που περιέχονται στα δεδομένα εκπαίδευσης ή των πηγών αυτών των δεδομένων (όπως απαιτείται σύμφωνα με το άρθρο 15 GDPR), δεν μπορούν να διορθώσουν τα ανακριβή προσωπικά δεδομένα (όπως απαιτείται στο άρθρο 16 GDPR). Αυτό εγείρει πρόσθετα ερωτήματα όταν πρόκειται για την απεριόριστη απορρόφηση προσωπικών δεδομένων σε συστήματα τεχνητής νοημοσύνης.
Μεγάλης κλίμακας παραβιάσεις του GDPR απαιτούν επείγουσα διαδικασία. Δεδομένου ότι το Twitter έχει ήδη αρχίσει να επεξεργάζεται τα δεδομένα των ανθρώπων για την τεχνολογία AI του και ότι ουσιαστικά δεν υπάρχει επιλογή για την αφαίρεση δεδομένων που έχουν απορροφηθεί, η noyb έχει ζήτησε μια «επείγουσα διαδικασία» σύμφωνα με το άρθρο 66 GDPR. Οι αρχές προστασίας δεδομένων (ΑΠΔ) σε εννέα ευρωπαϊκές χώρες (Αυστρία, Βέλγιο, Γαλλία, Ελλάδα, Ιρλανδία, Ιταλία, Ολλανδία, Πολωνία και Ισπανία) έλαβαν ένα τέτοιο αίτημα για λογαριασμό τοπικών υποκειμένων δεδομένων. Το άρθρο 66 εξουσιοδοτεί τις ΑΠΔ να εκδίδουν προκαταρκτικές παύσεις σε καταστάσεις όπως αυτή που περιγράφεται παραπάνω και επιτρέπει τη λήψη απόφασης σε επίπεδο ΕΕ μέσω του EDPB. Η ιρλανδική DPC και η Meta Ireland έχουν ήδη υποβληθεί σε δύο «Επείγουσες Δεσμευτικές Αποφάσεις» από την EDPB σε παρόμοιες καταστάσεις (βλ. Επείγουσα δεσμευτική απόφαση 01/2023 και επείγουσα δεσμευτική απόφαση 01/2021).
Παραβιάζονται αρκετές διατάξεις του GDPR. Εκτός από την έλλειψη έγκυρης νομικής βάσης, είναι πολύ απίθανο το Twitter να διακρίνει σωστά τα δεδομένα από χρήστες στην ΕΕ/ΕΟΧ και άλλες χώρες όπου οι άνθρωποι δεν απολαμβάνουν προστασία GDPR. Το ίδιο ισχύει για ευαίσθητα δεδομένα βάσει του άρθρου 9 του ΓΚΠΔ (για τα οποία το επιχείρημα « έννομο συμφέρον » δεν είναι διαθέσιμο σύμφωνα με το νόμο), όπως δεδομένα που αποκαλύπτουν εθνικότητα, πολιτικές απόψεις και θρησκευτικές πεποιθήσεις, καθώς και άλλα δεδομένα για τα οποία υπάρχει « έννομο συμφέρον ». «Θα μπορούσε θεωρητικά να υποστηριχθεί. Με την εισαγωγή της τεχνολογίας τεχνητής νοημοσύνης του, το Twitter φαίνεται να έχει παραβιάσει ορισμένες άλλες διατάξεις του GDPR, συμπεριλαμβανομένων των αρχών του GDPR, των κανόνων διαφάνειας και των κανόνων λειτουργίας. Συνολικά, οι καταγγελίες του noyb απαριθμούν παραβιάσεις τουλάχιστον των άρθρων 5 παράγραφοι 1 και 2, 6 παράγραφος 1, 9 παράγραφος 1, 12 παράγραφοι 1 και (2), 13 παράγραφοι 1 και 2, 17 (1)(c), 18(1)(d), 19, 21(1) και 25 GDPR.