O τομέας της κανονιστικής συμμόρφωσης βρίσκεται στα πρόθυρα ενός ολικού μετασχηματισμού στο κατώφλι μιας καινούριας εποχής, όπου τα κριτήρια ESG και η ορθή διαχείριση της τεχνητής νοημοσύνης βρίσκονται στο προσκήνιο. Ο ρόλος του δικηγόρου σε αυτό το πλαίσιο αποδεικνύεται κρίσιμος, αποτελώντας τον συνδετικό κρίκο ανάμεσα στο συνεχώς μεταβαλλόμενο νομοθετικό πλαίσιο και την επιχείρηση.
Υπό αυτό το πρίσμα, η κανονιστική συμμόρφωση είναι ένας από τους τρόπους να οδηγηθούμε στη βιώσιμη ανάπτυξη. «Εφόσον η βιώσιμη ανάπτυξη αποτελεί στόχο, η προσαρμογή στην εξελικτική διαδικασία είναι ο δρόμος. Όσο καλύτερο το «όχημα» της Κανονιστικής Συμμόρφωσης, τόσο πιο ασφαλής θα είναι η πορεία προς τον στόχο. Έτσι, απαιτούνται κατάλληλη οργάνωση, ύπαρξη δομών, εξασφάλιση άμεσης πληροφόρησης, μεθοδολογία διαχείρισης, ύπαρξη πόρων κοκ. Ο Ν. 4706/2020, διακρίνοντας τους πυλώνες του Συστήματος Εσωτερικού Ελέγχου και αναδεικνύοντας την Κανονιστική Συμμόρφωση ως έναν από αυτούς, στοχεύει σε αποτελεσματικότερα συστήματα Εταιρικής Διακυβέρνησης. Θεωρώ ότι μεγαλύτερη πρόκληση και αναγκαιότητα στην ελληνική πραγματικότητα αποτελεί όπως προανέφερα το «όχημα». Η λειτουργία της Κανονιστικής Συμμόρφωσης πρέπει να έρθει στο επίκεντρο, καθώς η εξελικτική διαδικασία συμβαίνει με ταχείς ρυθμούς» επισημαίνει ο Γιώργος Καραντζάς, Διευθυντής Κανονιστικής Συμμόρφωσης & Κινδύνων / Υπεύθυνος Προστασίας Δεδομένων, Sarantis Group.
Το υπόλοιπο του 2024 αλλά και τα προσεχή χρόνια αναμένεται να είναι καθοριστικά για την κανονιστική συμμόρφωση, με τις νέες τάσεις και τους αναδυόμενους κινδύνους να διαμορφώνουν το επιχειρηματικό τοπίο. Η προστασία των προσωπικών δεδομένων, η τεχνητή νοημοσύνη και η κυβερνοασφάλεια βρίσκονται στο επίκεντρο, με τους κινδύνους και την επιχειρησιακή ανθεκτικότητα που απαιτείται για την αντιμετώπισή τους να καθορίζουν εν πολλοίς τη δραστηριοποίηση των εταιρειών.
Η αυστηροποίηση του ρυθμιστικού πεδίου για την προστασία των προσωπικών δεδομένων
Η προστασία των προσωπικών δεδομένων παραμένει μια από τις πιο σημαντικές και ταχέως εξελισσόμενες περιοχές της κανονιστικής συμμόρφωσης. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), ο οποίος τέθηκε σε ισχύ το 2018, έχει θέσει το πρότυπο για την προστασία των προσωπικών δεδομένων παγκοσμίως. Ωστόσο, οι συνεχείς τεχνολογικές εξελίξεις και οι αυξανόμενες ανησυχίες σχετικά με την ιδιωτικότητα έχουν οδηγήσει σε περαιτέρω αυστηροποίηση του ρυθμιστικού πλαισίου.
Οι μεγάλες βάσεις δεδομένων (Big Data), η μηχανική μάθηση και το διαδίκτυο των πραγμάτων (IoT) έχουν ως αποτέλεσμα συνεχείς παραβιάσεις και χρήση δεδομένων από τρίτους, με τη μεγαλύτερη πρόκληση αυτή τη στιγμή να έγκειται στο πώς θα γίνει όσο το δυνατόν πιο διαφανής η επεξεργασία των δεδομένων. Υπό αυτό το πρίσμα, οι αρχές προστασίας δεδομένων στην Ευρώπη αλλά και παγκοσμίως τείνουν να εκδίδουν ολοένα αυστηρότερες κατευθυντήριες γραμμές και αποφάσεις.
Οι αρχές προστασίας δεδομένων στην Ευρώπη αλλά και παγκοσμίως τείνουν να εκδίδουν ολοένα αυστηρότερες κατευθυντήριες γραμμές και αποφάσεις
Στην Ελλάδα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) έχει εκδώσει πολυάριθμες οδηγίες και κατευθυντήριες γραμμές για την εφαρμογή του GDPR, ενισχύοντας τη συμμόρφωση των επιχειρήσεων. Ένα χαρακτηριστικό παράδειγμα είναι η απόφαση της Αρχής να επιβάλει πρόστιμο ύψους 175.000 ευρώ στο Υπουργείο Μετανάστευσης και Ασύλου για μη συμμόρφωση με τις απαιτήσεις διενέργειας Εκτίμησης Αντικτύπου Προστασίας Δεδομένων (DPIA) και για έλλειψη συνεργασίας με την Αρχή. Επιπλέον, η ΑΠΔΠΧ επέβαλε πρόστιμο 20 εκατομμυρίων ευρώ στην εταιρεία Clearview AI για παραβίαση των αρχών νομιμότητας και διαφάνειας στη χρήση βιομετρικών δεδομένων μέσω τεχνολογιών αναγνώρισης προσώπου.
Οι νέες κανονιστικές απαιτήσεις για την τεχνητή νοημοσύνη
Η τεχνητή νοημοσύνη (ΤΝ) αναδεικνύεται ως μια από τις πιο καινοτόμες τεχνολογίες του 21ου αιώνα, αλλά φέρνει μαζί της νέες προκλήσεις για την κανονιστική συμμόρφωση. «Οι κανονιστικές απαιτήσεις και τα πρότυπα του κλάδου τεχνητής νοημοσύνης ανάγονται στο πιο καίριο ζήτημα της κανονιστικής συμμόρφωσης των επιχειρήσεων στην εποχή μας. Τουλάχιστον για εκείνες τις επιχειρήσεις που επιθυμούν να επιδείξουν τη δέσμευσή τους στη βιωσιμότητα και να διατηρήσουν τη συμμόρφωση με τους σχετικούς νόμους και κανονισμούς» τονίζει η Αγγέλικα Γκούσκου, Διαχειριστής Εταίρος «Σελέκος – Γκούσκου και Συνεργάτες, Δικηγορική Εταιρεία».
Στο ίδιο μήκος κύματος, ο Ιωάννης Σαρακηνός, Δικηγόρος παρ’ Αρείω Πάγω, ιδιοκτήτης του δικηγορικού γραφείου “Sarakinos Law”, αναφέρει ότι «η κανονιστική συμμόρφωση αποτελεί έναν τομέα διαρκώς εξελισσόμενο και απόλυτα εξαρτώμενο από τις, κάθε φορά, τρέχουσες εξελίξεις σε πολιτικό, οικονομικό και κοινωνικό πεδίο. Δε θα μπορούσε, λοιπόν, να μείνει ανεπηρέαστη από την αλματώδη τεχνολογική εξέλιξη της εποχής. Από τα τεχνολογικά εργαλεία που υιοθετούν επιχειρήσεις και φορείς του δημοσίου για τις ανάγκες της δραστηριότητάς τους, η τεχνητή νοημοσύνη (Artificial Intelligence) αποτελεί τον μεγαλύτερο, ίσως, κίνδυνο για το εγγύς – και όχι μόνο – μέλλον της συμμόρφωσης των επιχειρήσεων και των φορέων του δημοσίου με την ισχύουσα κάθε φορά νομοθεσία».
Η ΕΕ έχει αναγνωρίσει την ανάγκη για ένα ολοκληρωμένο ρυθμιστικό πλαίσιο για την ΤΝ, προκειμένου να διασφαλίσει την ηθική και υπεύθυνη χρήση της τεχνολογίας. Ο Κανονισμός για την Τεχνητή Νοημοσύνη (AI Act) επιδιώκει να δημιουργήσει ένα συνεκτικό πλαίσιο για την ανάπτυξη, την εφαρμογή και τη χρήση της TN, εστιάζοντας στην ασφάλεια, την προστασία των θεμελιωδών δικαιωμάτων και την ενίσχυση της εμπιστοσύνης των πολιτών. Ο Κανονισμός αυτός κατηγοριοποιεί τα συστήματα τεχνητής νοημοσύνης βάσει του επιπέδου κινδύνου τους σε τέσσερις βασικές κατηγορίες: ελάχιστος κίνδυνος, περιορισμένος κίνδυνος, υψηλός κίνδυνος και μη αποδεκτός κίνδυνος.
Τα συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου υπόκεινται σε αυστηρούς ελέγχους, για να διασφαλιστεί ότι είναι ασφαλή και αξιόπιστα. Αυτό περιλαμβάνει τη διεξαγωγή αξιολογήσεων κινδύνου που εντοπίζουν πιθανούς κινδύνους που μπορεί να προκύψουν από τη χρήση τους. Η αξιολόγηση αυτή απαιτείται να καλύπτει τόσο την ανάπτυξη όσο και τη λειτουργία των συστημάτων, διασφαλίζοντας ότι τυχόν προβλήματα αναγνωρίζονται και αντιμετωπίζονται έγκαιρα. Επιπλέον, η διαφάνεια είναι κρίσιμη, απαιτώντας από τους υπεύθυνους ανάπτυξης να παρέχουν σαφείς και κατανοητές πληροφορίες για το πώς λειτουργεί το σύστημα και ποια δεδομένα χρησιμοποιεί.
Η AI Act αποτελεί μέρος μιας ευρύτερης στρατηγικής της ΕΕ για την ενίσχυση της ψηφιακής οικονομίας και την προώθηση της υπεύθυνης χρήσης των νέων τεχνολογιών
Η αξιοπιστία των συστημάτων επιτυγχάνεται μέσω συνεχών δοκιμών και επικυρώσεων για να διασφαλιστεί ότι τα αποτελέσματα είναι ακριβή και συνεπή. Τέλος, η ασφάλεια των συστημάτων υψηλού κινδύνου πρέπει να διασφαλίζεται, για να προστατεύονται τα προσωπικά δεδομένα και τα δικαιώματα των χρηστών από τυχόν κακόβουλη χρήση ή παραβιάσεις.
Επιπλέον, προβλέπονται αυστηροί κανονισμοί για τη χρήση συστημάτων αναγνώρισης προσώπου σε δημόσιους χώρους, απαιτώντας σαφείς δικλίδες ασφαλείας και τη συγκατάθεση των υποκειμένων. Ο Κανονισμός θέτει επίσης κανόνες για την εποπτεία και την επιβολή, παρέχοντας στις αρμόδιες αρχές τη δυνατότητα να επιβάλουν κυρώσεις σε περιπτώσεις μη συμμόρφωσης.
Οι νέες ρυθμίσεις επιδιώκουν να προωθήσουν την καινοτομία και την ανταγωνιστικότητα στην ΕΕ, διασφαλίζοντας παράλληλα ότι η ανάπτυξη και η χρήση της TN συμμορφώνεται με τις αξίες και τα δικαιώματα της Ένωσης. Η AI Act αποτελεί μέρος μιας ευρύτερης στρατηγικής της ΕΕ για την ενίσχυση της ψηφιακής οικονομίας και την προώθηση της υπεύθυνης χρήσης των νέων τεχνολογιών, οπότε αναμένονται ακόμα περισσότερες και αυστηρότερες ρυθμιστικές απαιτήσεις στο μέλλον.
Η NIS2 αλλάζει τη διαχείριση της κυβερνοασφάλειας
Η κυβερνοασφάλεια αποτελεί έναν ακόμη κρίσιμο τομέα κανονιστικής συμμόρφωσης, καθώς οι κυβερνοεπιθέσεις και οι απειλές στον κυβερνοχώρο αυξάνονται συνεχώς. Η Οδηγία NIS2, η οποία αντικαθιστά την Οδηγία NIS1, θέτει πιο αυστηρά πρότυπα για την ασφάλεια των δικτύων και των πληροφοριακών συστημάτων σε ολόκληρη την ΕΕ και διευρύνει το πεδίο εφαρμογής της προηγούμενης Οδηγίας, καλύπτοντας περισσότερους τομείς και οργανισμούς, συμπεριλαμβανομένων των παρόχων ψηφιακών υπηρεσιών, των δημοσίων υπηρεσιών και των παρόχων κρίσιμων υπηρεσιών, όπως η ενέργεια, οι μεταφορές, η υγεία και οι χρηματοπιστωτικές υπηρεσίες.
Μία από τις βασικές καινοτομίες της NIS2 είναι η επιβολή πιο αυστηρών απαιτήσεων ασφαλείας για τους οργανισμούς που εμπίπτουν στο πεδίο εφαρμογής της. Αυτές οι απαιτήσεις περιλαμβάνουν τη θέσπιση μέτρων διαχείρισης κινδύνου, την τακτική αξιολόγηση των απειλών και των τρωτών σημείων, καθώς και την υιοθέτηση κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία των δικτύων και των πληροφοριακών συστημάτων. Επιπλέον, η NIS2 απαιτεί από τους οργανισμούς να αναπτύξουν και να διατηρούν σχέδια επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφές, διασφαλίζοντας την ικανότητά τους να συνεχίζουν τη λειτουργία τους ακόμη και σε περίπτωση σοβαρών κυβερνοεπιθέσεων.
Το πιο σημαντικό στοιχείο της NIS2 όσον αφορά στον τομέα της κανονιστικής συμμόρφωσης είναι η υποχρέωση των οργανισμών να αναφέρουν περιστατικά ασφαλείας στις εθνικές αρχές εντός αυστηρών προθεσμιών. Αυτή η υποχρέωση επιτρέπει την ταχεία αντίδραση και τον περιορισμό των επιπτώσεων των περιστατικών, ενώ παράλληλα ενισχύει τη διαφάνεια και την εμπιστοσύνη στο ψηφιακό περιβάλλον. Η αυξημένη λογοδοσία και οι αυστηρές κυρώσεις για τη μη συμμόρφωση με τις απαιτήσεις της Οδηγίας αποτελούν επιπλέον κίνητρα για τους οργανισμούς να επενδύσουν στην κυβερνοασφάλεια και να αναπτύξουν ανθεκτικά συστήματα, όμως ταυτόχρονα απαιτεί εγρήγορση και αλλάζει εν πολλοίς τον τρόπο με τον οποίο λειτουργούσε η κανονιστική συμμόρφωση έως τώρα.
Κίνδυνοι και επιχειρησιακή ανθεκτικότητα
Η συνεχώς αυξανόμενη πολυπλοκότητα του ρυθμιστικού πλαισίου και οι νέες τάσεις στην τεχνολογία και την ασφάλεια φέρνουν στο προσκήνιο νέους κινδύνους που οι επιχειρήσεις πρέπει να αντιμετωπίσουν. Η επιχειρησιακή ανθεκτικότητα καθίσταται πλέον απαραίτητη για την αντιμετώπιση αυτών των κινδύνων και τη διασφάλιση της συμμόρφωσης. Πέρα από τον προφανή και αναδυόμενο κίνδυνο των κυβερνοεπιθέσεων, στο προσκήνιο βρίσκονται και οι παραβιάσεις των προσωπικών δεδομένων, οι οποίες συνδέονται με αυστηρές κυρώσεις αλλά και με την απώλεια της καλής τους φήμης για τις εταιρείες.
Υπό αυτό το πρίσμα, η βασικότερη πρόκληση βρίσκεται στη συμμόρφωση με το ευρωπαϊκό και εθνικό κανονιστικό πλαίσιο, με την αδυναμία να επιτευχθεί να συνδέεται με βαριά πρόστιμα ή ακόμα και περιορισμούς στη λειτουργία των επιχειρήσεων. Ο υπεύθυνος κανονιστικής συμμόρφωσης καλείται να ενημερώνεται για τις αλλαγές στη νομοθεσία, οι οποίες είναι συνεχείς. Όπως εξηγεί ο Ιωάννης Χαλκιαδάκης, Head of Regulatory Compliance & AML, Intrum, «αν επιχειρούσαμε να προβλέψουμε τον μεγαλύτερο κίνδυνο που θα αντιμετωπίσει τα επόμενα χρόνια η κανονιστική συμμόρφωση, ιδιαίτερα στον ευρύτερο χρηματοπιστωτικό τομέα, αυτός αναμένεται να σχετίζεται με την ταχεία εξέλιξη και αυστηροποίηση των κανονισμών και των οδηγιών σε επίπεδο ΕΕ. Καθώς η ΕΕ επιβάλλει αυστηρότερα κανονιστικά πλαίσια, σχετικά με αδειοδοτήσεις και κεφαλαιακές απαιτήσεις, τιτλοποιήσεις και κρατικές εγγυήσεις, μη εξυπηρετούμενα ανοίγματα, ψηφιακή και επιχειρησιακή ανθεκτικότητα, ξέπλυμα βρώμικου χρήματος, κυβερνοασφάλεια και προστασία δεδομένων, κρυπτονομίσματα κλπ., τα εποπτευόμενα ιδρύματα υποχρεούνται να ανταποκρίνονται σε ολοένα αυξανόμενες προσδοκίες για διαφάνεια και συμμόρφωση σε πολλαπλές κανονιστικές επιταγές».
Για να αντιμετωπιστούν οι ανωτέρω κίνδυνοι, οι επιχειρήσεις οφείλουν να αναπτύξουν στρατηγικές επιχειρησιακής ανθεκτικότητας που καλύπτουν ένα ευρύ φάσμα δραστηριοτήτων. Σε πρώτο πλάνο βρίσκεται η αποτελεσματική διαχείριση των κινδύνων μέσω κατάλληλων πολιτικών για την έγκαιρη αναγνώριση, αξιολόγηση και αντιμετώπισή τους. Άλλωστε, στο νομοθετικό πλαίσιο η συνιστώσα αυτή λαμβάνει περίοπτη θέση, αφού είναι ο μόνος τρόπος να εξουδετερωθούν οι συνέπειες των κινδύνων σε αρχικό στάδιο, πριν από τη συστηματική εξάπλωσή τους.
Ωστόσο, αναγνωρίζεται ότι απαιτείται και ένα προληπτικό στάδιο, το οποίο θα περιλαμβάνει την εκπαίδευση και ευαισθητοποίηση των εργαζομένων σχετικά με τις καλές πρακτικές για την επιχειρησιακή ανθεκτικότητα. Παράλληλα, μηχανισμοί παρακολούθησης και βελτίωσης των πολιτικών και διαδικασιών είναι ο μόνος τρόπος να εξασφαλιστεί κατά το δυνατόν η διαρκής συμμόρφωση με το ολοένα εξελισσόμενο ρυθμιστικό πλαίσιο.
Ο ρόλος του νομικού συμβούλου στη συμμόρφωση
Ο ρόλος του νομικού συμβούλου είναι κρίσιμος για τη συμμόρφωση των επιχειρήσεων με τις συνεχείς μεταβολές της νομοθεσίας. Σε αυτό το πλαίσιο, είναι φυσικά κρίσιμη η συνεχής ενημέρωσή του για τις νομοθετικές εξελίξεις, έτσι ώστε να μπορεί να δίνει έγκαιρες, έγκυρες και ακριβείς νομικές συμβουλές. Όμως, ο συμβουλευτικός του ρόλος πηγαίνει αρκετά βήματα παραπέρα.
Ο νομικός σύμβουλος πρέπει να παρέχει στρατηγικές κατευθύνσεις και να συνεργάζεται στενά με τις διοικητικές ομάδες των επιχειρήσεων για την ανάπτυξη και την εφαρμογή πολιτικών και διαδικασιών συμμόρφωσης. Αυτό περιλαμβάνει την αξιολόγηση των κινδύνων, την ανάπτυξη σχεδίων διαχείρισης κινδύνων και την εκπαίδευση των εργαζομένων.
Η πρόληψη βρίσκεται στον πυρήνα αυτής της λογικής. Όπως επισημαίνει η Α. Γκούσκου, «με σκοπό τη διασφάλιση της ανθεκτικότητας και βιωσιμότητας, οι Μονάδες Κανονιστικής Συμμόρφωσης και Διαχείρισης Κινδύνων των εταιρειών θα πρέπει να λειτουργούν προληπτικά και να προσαρμόζουν συνεχώς τις διαδικασίες τους ενόψει των νέων νομοθετικών εξελίξεων σε ευρωπαϊκό επίπεδο που επιφέρουν οι νέες τεχνολογίες».
Έτσι, καθίσταται σαφές ότι ο νομικός σύμβουλος και ολόκληρο το τμήμα κανονιστικής συμμόρφωσης γίνεται στρατηγικός εταίρος στις αποφάσεις της εταιρείας, ένας υποστηρικτής αλλά ταυτόχρονα και προειδοποιητικός συνεργάτης που με τις επιφυλάξεις και την προδραστική στάση του μπορεί να διασφαλίσει την ανθεκτικότητα της επιχείρησης στο δυναμικό περιβάλλον όπου αναπτύσσεται.