Η πρότερη αυστηρότητα του GDPR χαλαρώνει αρκετά, προσπαθώντας να προσαρμοστεί στις απαιτήσεις της ΑΙ, σε μια λεπτή ισορροπία ανάμεσα στην απλοποίηση και την ανεπαρκή προστασία.

Στις 19 Νοεμβρίου, η Ευρωπαϊκή Επιτροπή έδωσε στη δημοσιότητα το λεγόμενο Omnibus Digital Package, ένα εκτενές πακέτο νομοθετικών παρεμβάσεων που επιχειρεί να ανανεώσει, να ενοποιήσει και σε ορισμένα σημεία να απλοποιήσει το ευρωπαϊκό ψηφιακό κεκτημένο. Ανάμεσα στις αλλαγές που προτείνει, η πιο ηχηρή είναι αναμφίβολα η παρέμβαση στον ίδιο τον GDPR, τον κορυφαίο και αυστηρότερο παγκοσμίως Κανονισμό για την προστασία των προσωπικών δεδομένων.

1

Η δημοσίευση της Omnibus δεν ήταν ένα μεμονωμένο γεγονός. Αντιθέτως, εντάσσεται σε μια ευρύτερη, στρατηγική τάση απλοποίησης, η οποία διαπερνά οριζόντια το σύνολο των ρυθμιστικών εργαλείων της ΕΕ. Από την Ουάσιγκτον έως τις Βρυξέλλες, η πολιτική ατζέντα μετατοπίζεται προς μια πιο φιλική προσέγγιση για τις επιχειρήσεις, με στόχο την επιτάχυνση της καινοτομίας, την ανάπτυξη της ευρωπαϊκής τεχνολογίας και την ενίσχυση της ανταγωνιστικότητας των εταιρειών σε ένα παγκόσμιο περιβάλλον που αλλάζει με εκρηκτική ταχύτητα.

Δεν είναι τυχαίο ότι η στροφή αυτή εμφανίζεται μετά την εκλογή Τραμπ στις ΗΠΑ, όπου κυριάρχησε η λογική της απορρύθμισης. Η ίδια ιδέα, ότι δηλαδή οι πιο ευέλικτοι κανόνες μπορούν να λειτουργήσουν ως μοχλός ανάπτυξης, φαίνεται να διαπερνά πλέον και τη συζήτηση στις Βρυξέλλες, ειδικά μετά την Έκθεση Ντράγκι, που έθεσε ως προτεραιότητα τη μείωση της κανονιστικής πολυπλοκότητας.

Σε αυτό το περιβάλλον, ο GDPR βρίσκεται στο επίκεντρο ενός νέου, σύνθετου διλήμματος. Πώς μπορεί η Ευρώπη να παραμείνει η παγκόσμια υπερδύναμη στην προστασία των ανθρωπίνων δικαιωμάτων γενικότερα και των προσωπικών δεδομένων ειδικότερα, χωρίς όμως να πνίγει με γραφειοκρατία τις ίδιες τις επιχειρήσεις που καλείται να βοηθήσει να αναπτυχθούν.

Οι κυριότερες αλλαγές στον GDPR: Κομβικές παρεμβάσεις με καθοριστικές συνέπειες

Η Omnibus δεν αναθεωρεί ριζικά τον GDPR, αλλά αναδιαμορφώνει τις ισορροπίες. Και όταν μιλάμε για προσωπικά δεδομένα, οι ισορροπίες είναι λεπτές και ακόμα και μικρές παρεμβάσεις επηρεάζουν σε σημαντικό βαθμό τόσο τις επιχειρήσεις όσο και τα υποκείμενα των δικαιωμάτων.

Νέος ορισμός του τι θεωρείται “προσωπικό δεδομένο”

Η πρώτη και ίσως πιο θεμελιώδης αλλαγή αφορά τον ίδιο τον ορισμό των προσωπικών δεδομένων. Η Κομισιόν εισάγει μια κρίσιμη διευκρίνιση: Δεδομένα που δεν μπορούν να οδηγήσουν σε ταυτοποίηση από τον ίδιο τον υπεύθυνο επεξεργασίας, επειδή δεν διαθέτει «εύλογα μέσα» για να αναγνωρίσει το άτομο, δεν θεωρούνται πλέον προσωπικά.

Η λογική είναι να αποφορτιστούν επιχειρήσεις που χρησιμοποιούν ψευδωνυμοποιημένα ή τεχνικά datasets χωρίς καμία δυνατότητα σύνδεσης με συγκεκριμένα πρόσωπα. Για τις εταιρείες αυτό σημαίνει λιγότερες υποχρεώσεις και ευκολότερο καθεστώς συμμόρφωσης.

Για τα υποκείμενα των δικαιωμάτων όμως ανοίγεται μια νέα κουβέντα. Πόσο εύκολο είναι τελικά, με τα σύγχρονα τεχνικά μέσα, να εκτιμηθεί σωστά τι συνιστά μη ταυτοποιήσιμο; Πώς μπορούμε να είμαστε σίγουροι ότι δεδομένα που χρησιμοποιούνται κάτω από τον μανδύα της ανωνυμοποίησης δεν μπορούν τελικά να συνδεθούν με συγκεκριμένο άτομο και τελικά να γίνουν απολύτως προσωπικά;

Εξαιρέσεις για ειδικές κατηγορίες δεδομένων και ο ρόλος της Τεχνητής Νοημοσύνης

Μια ακόμη σημαντική παρέμβαση αφορά τις ειδικές κατηγορίες δεδομένων, δηλαδή τα πιο ευαίσθητα στοιχεία που ο GDPR παραδοσιακά προστατεύει αυστηρότερα.

Εδώ, η Επιτροπή προτείνει δύο νέες εξαιρέσεις από το καθεστώς προστασίας. Η πρώτη αφορά τη χρήση βιομετρικών δεδομένων αποκλειστικά για επιβεβαίωση ταυτότητας, υπό την προϋπόθεση ότι η τεχνολογία βρίσκεται στον πλήρη έλεγχο του χρήστη, όπως συμβαίνει με το αποτύπωμα σε ένα κινητό τηλέφωνο.

Η δεύτερη σχετίζεται άμεσα με την ανάπτυξη συστημάτων Τεχνητής Νοημοσύνης και επιτρέπει την περιορισμένη και απολύτως αναγκαία επεξεργασία ευαίσθητων δεδομένων για τη λειτουργία ή εκπαίδευση μοντέλων, με αυστηρές εγγυήσεις και υποχρεωτική διαγραφή όταν αυτά εντοπιστούν.

Οι επιχειρήσεις βλέπουν σε αυτή τη ρύθμιση μια πολυαναμενόμενη νομιμοποίηση πρακτικών που ήδη χρησιμοποιούνται στα datasets. Οι οργανώσεις πολιτικών δικαιωμάτων, αντίθετα, προειδοποιούν ότι η γραμμή ανάμεσα στη λειτουργική αναγκαιότητα και την καταχρηστική χρήση ευαίσθητων δεδομένων μπορεί εύκολα να γίνει πολύ θολή.

Περιορισμός των «καταχρηστικών» αιτημάτων πρόσβασης

Ένα ακόμη σημείο που αλλάζει αισθητά την καθημερινότητα των επιχειρήσεων είναι η δυνατότητα απόρριψης αιτημάτων πρόσβασης όταν αυτά θεωρούνται καταχρηστικά. Η Επιτροπή αναγνωρίζει ότι υπάρχουν περιπτώσεις όπου το δικαίωμα πρόσβασης του χρήστη στα προσωπικά του δεδομένα, αντί να λειτουργεί ως μηχανισμός διαφάνειας, χρησιμοποιείται ως μέσο πίεσης, καθυστέρησης ή ακόμη και παρεμπόδισης της λειτουργίας μιας εταιρείας.

Η νέα ρύθμιση επιτρέπει σε έναν οργανισμό να απορρίψει τέτοια αιτήματα ή να επιβάλει εύλογο τέλος. Αυτό αποσυμφορεί σημαντικά τις επιχειρήσεις, ειδικά τις μικρομεσαίες, αλλά δημιουργεί και την ανάγκη για προσεκτική εφαρμογή, ώστε να μην οδηγήσει σε υπερβολές.

Χαλάρωση της υποχρέωσης ενημέρωσης

Μία από τις πιο πολυσυζητημένες αλλαγές αφορά την υποχρέωση ενημέρωσης των χρηστών, η οποία μέχρι σήμερα αποτελούσε θεμέλιο λίθο του GDPR. Η Omnibus προβλέπει πλέον ότι η επιχείρηση δεν θα χρειάζεται να επαναλαμβάνει την πλήρη ενημέρωση κάθε φορά που επεξεργάζεται δεδομένα, εφόσον μπορεί να τεκμηριώσει ότι το υποκείμενο γνωρίζει ήδη τις σχετικές πληροφορίες.

Η αλλαγή στοχεύει στη μείωση της διοικητικής επιβάρυνσης, ιδίως σε υπηρεσίες όπου η επαφή με τον χρήστη είναι συχνή και επαναλαμβανόμενη. Παρόλα αυτά, δημιουργεί και ανησυχίες, αφού σε ένα περιβάλλον όπου τα δεδομένα κυκλοφορούν μεταξύ συστημάτων, ποιος διασφαλίζει ότι ο χρήστης έχει πράγματι πλήρη εικόνα; Και πώς αποδεικνύεται ότι μια επεξεργασία δεν έχει διαφοροποιηθεί με τρόπο που απαιτεί νέα ενημέρωση;

Αυτοματοποιημένες αποφάσεις χωρίς την προϋπόθεση ανθρώπινης εναλλακτικής

Αυτή τη στιγμή, ο GDPR επιτρέπει μια απόφαση που λαμβάνεται αποκλειστικά από αλγόριθμο μόνο όταν είναι πραγματικά αναγκαία για τη σύμβαση, δηλαδή όταν δεν υπήρχε ουσιαστική εναλλακτική ανθρώπινης εξέτασης.

Με τη νέα πρόταση, η έννοια της αναγκαιότητας διευρύνεται. Μια αυτοματοποιημένη διαδικασία μπορεί να θεωρηθεί αναγκαία ακόμη κι αν η επιχείρηση θα μπορούσε να προσφέρει ανθρώπινη αξιολόγηση, αρκεί ο αλγόριθμος να είναι ο τρόπος με τον οποίο έχει σχεδιαστεί η υπηρεσία. Αυτό δίνει μεγαλύτερη ευελιξία στις επιχειρήσεις να χρησιμοποιούν πλήρως αυτοματοποιημένα μοντέλα, αλλά ταυτόχρονα ενισχύει την ανάγκη οι πολίτες να γνωρίζουν πώς λαμβάνεται η απόφαση και πώς μπορούν να τη αμφισβητήσουν.

Αυτό δίνει στις εταιρείες τη δυνατότητα να βασίζουν ολόκληρες υπηρεσίες σε αλγοριθμικά συστήματα: από την έγκριση ενός δανείου μέχρι την αξιολόγηση μιας ασφαλιστικής αίτησης ή τη διαχείριση κινδύνου σε πλατφόρμες fintech. Οι διαδικασίες γίνονται ταχύτερες και πιο οικονομικές, ενώ οι επιχειρήσεις έχουν καθαρότερο νομικό πλαίσιο γύρω από το πότε μπορούν να αξιοποιούν πλήρως την αυτοματοποίηση.

Ωστόσο, για τα υποκείμενα των δεδομένων αυτή η αλλαγή δημιουργεί νέα ερωτήματα. Αν η απόφαση λαμβάνεται 100% από έναν αλγόριθμο, χωρίς κάποιον άνθρωπο διαθέσιμο να ελέγξει ή να αναθεωρήσει εύκολα το αποτέλεσμα, πώς διασφαλίζεται ότι δεν υπάρχουν λάθη, προκαταλήψεις ή στρεβλώσεις;

Νέο μοντέλο αναφοράς παραβιάσεων δεδομένων

Η αλλαγή στον τρόπο κοινοποίησης παραβιάσεων δεδομένων σηματοδοτεί μια βαθιά μετατόπιση της φιλοσοφίας του GDPR. Αντί της καθολικής υποχρέωσης αναφοράς, η Omnibus απαιτεί πλέον ειδοποίηση μόνο όταν η παραβίαση ενέχει υψηλό κίνδυνο για τους πολίτες.

Η προθεσμία παρατείνεται σε 96 ώρες και η διαδικασία μεταφέρεται σε μια ενιαία ευρωπαϊκή πλατφόρμα της ENISA. Οι επιχειρήσεις κερδίζουν χρόνο, λιγότερη αβεβαιότητα και λιγότερο φόρτο τεκμηρίωσης. Από την άλλη πλευρά, δημιουργείται η ανησυχία ότι περιστατικά που δεν θεωρούνται «υψηλού» αλλά όχι και αμελητέου κινδύνου μπορεί να περάσουν απαρατήρητα, περιορίζοντας τη δημόσια λογοδοσία και την ενημέρωση των πολιτών.

Κατάργηση των cookies όπως τα ξέρουμε

Η πιο ηχηρή αλλαγή αφορά το τέλος της εποχής των κλασικών cookie banners. Η διάταξη της ePrivacy που ρυθμίζει την εγκατάσταση και ανάγνωση cookies ενσωματώνεται απευθείας στον GDPR και αντικαθίσταται από ένα εντελώς νέο μοντέλο, βασισμένο στη λεγόμενη «μηχανικώς αναγνώσιμη συγκατάθεση».

Στο μέλλον, οι προτιμήσεις του χρήστη ως προς την παρακολούθηση και την εξατομίκευση δεν θα δηλώνονται μέσω banner, αλλά θα μεταδίδονται αυτόματα από το ίδιο το λειτουργικό σύστημα, το browser ή ακόμη και τα agent-based συστήματα που διαμορφώνουν σταδιακά το νέο ψηφιακό περιβάλλον.

Για τον χρήστη αυτό σημαίνει μεγαλύτερο έλεγχο και λιγότερη «κόπωση» από τα ατελείωτα “Accept” και “Reject”. Για τις επιχειρήσεις, όμως, η μετάβαση αυτή θα ανατρέψει τα δεδομένα, καθώς επηρεάζει ευθέως τα μοντέλα ψηφιακής διαφήμισης, τις μετρήσεις επισκεψιμότητας, ακόμη και τη βιωσιμότητα media οργανισμών που εξαρτώνται από την στοχευμένη προβολή.

Οι αλλαγές που αναμένονταν αλλά τελικά δεν ήρθαν

Πριν από τη δημοσίευση της Omnibus, υπήρξαν έντονες συζητήσεις και ανεπίσημες πληροφορίες ότι η Επιτροπή θα προχωρούσε σε μια εκτεταμένη ελάφρυνση των υποχρεώσεων του GDPR σχετικά με τη διατήρηση των αρχείων επεξεργασίας, μειώνοντας σημαντικά το επίπεδο προστασίας των προσωπικών δεδομένων των πολιτών.

Τελικά, καμία από αυτές τις αλλαγές δεν υλοποιήθηκε. Η Κομισιόν φαίνεται πως υποχώρησε μπροστά στις αντιδράσεις των εποπτικών αρχών και των οργανώσεων δικαιωμάτων, που προειδοποίησαν ότι η χαλάρωση των υποχρεώσεων θα μπορούσε να αποδυναμώσει τη ραχοκοκαλιά του GDPR που αφορά τη διαφάνεια και την ιχνηλασιμότητα των επεξεργασιών.

Αυτή η απόσυρση δημιούργησε μια αίσθηση ανακούφισης σε όσους ανησυχούσαν για αποδυνάμωση του κανονισμού, αλλά και μια αίσθηση απογοήτευσης στις επιχειρήσεις που περίμεναν ουσιαστική διοικητική αποφόρτιση.

Οι αντιδράσεις των οργανώσεων ανθρωπίνων δικαιωμάτων

Παρά το γεγονός ότι η Omnibus δεν προχώρησε σε πολύ ηχηρές αλλαγές, οργανώσεις ψηφιακών δικαιωμάτων εξέφρασαν έντονες επιφυλάξεις. Το βασικό τους επιχείρημα είναι ότι η απλοποίηση δεν πρέπει να συγχέεται με την αποδυνάμωση, θεωρώντας ότι οι νέες εξαιρέσεις για ευαίσθητα δεδομένα, οι περιορισμοί στις υποχρεώσεις ενημέρωσης και η διεύρυνση της αυτοματοποιημένης λήψης αποφάσεων δημιουργούν ένα πλαίσιο όπου οι επιχειρήσεις ενδέχεται να κινούνται πιο άνετα, αλλά οι πολίτες να γνωρίζουν λιγότερα για το πώς χρησιμοποιούνται τα δεδομένα τους.

Επιπλέον, η μεταφορά της συγκατάθεσης στα χέρια των browsers και των λειτουργικών συστημάτων εγείρει φόβους για τη δημιουργία μιας νέας μορφής εξάρτησης από μεγάλες πλατφόρμες, που ήδη κατέχουν δεσπόζουσα θέση στην ψηφιακή οικονομία. Η ανισορροπία ισχύος, φοβούνται οι οργανώσεις, μπορεί να μετατοπιστεί από τις ιστοσελίδες προς τους τεχνολογικούς κολοσσούς που θα ελέγχουν την ίδια τη μετάδοση της συγκατάθεσης.

Ανάμεσα στην καινοτομία και την προστασία, η Ευρώπη ψάχνει ξανά την ταυτότητά της

Η Omnibus της 19ης Νοεμβρίου δεν είναι μια κοσμογονική μεταρρύθμιση. Είναι όμως μια σαφής ένδειξη ότι η Ευρώπη επιχειρεί να ξαναβρεί την ισορροπία της σε ένα περιβάλλον όπου η τεχνολογία τρέχει πολύ πιο γρήγορα από τη νομοθεσία. Οι αλλαγές στον GDPR δείχνουν μια Ευρωπαϊκή Ένωση που προσπαθεί να γίνει πιο ευέλικτη χωρίς να απεμπολήσει την αυστηρότητα που τη χαρακτήριζε. Το στοίχημα είναι αν αυτή η λεπτή επέμβαση θα καταλήξει σε ένα πιο λειτουργικό πλαίσιο ή αν θα ανοίξει την πόρτα σε μια νέα εποχή ασάφειας και μειωμένης προστασίας.

Σε κάθε περίπτωση, το μόνο βέβαιο είναι ότι η συζήτηση γύρω από τον GDPR δεν τελειώνει εδώ. Ίσως, μάλιστα, τώρα να αρχίζει ξανά.