Το συνέδριο, το οποίο πραγματοποιήθηκε με χορηγούς τη ΔΕΠΑ Εμπορίας, τη Huawei, τη Microsoft και την TÜV Nord, με υποστηρικτή τη Sioufas & Associates Law Firm και τιμητική υποστήριξη από την Ελληνική Ένωση Προστασίας Προσωπικών Δεδομένων & Ιδιωτικότητας, σκιαγράφησε με τη συμβολή καταξιωμένων Ελλήνων και διεθνών εισηγητών το τοπίο της προστασίας προσωπικών δεδομένων και της ιδιωτικότητας, όπως αυτό διαμορφώνεται στην τρέχουσα, ψηφιακή πραγματικότητα.
Tο συνέδριο, το οποίο έλαβε χώρα στις 31 Μαΐου, συντόνισαν η Αλεξάνδρα Βαρλά, Δικηγόρος LL.M, Editor-in-chief & Head Of Business Unit “Lawyer” Boussias και ο Παναγιώτης Μαρκέτος, Business Editor, οι οποίοι χαιρέτισαν τους παριστάμενους και παρουσίασαν τη θεματική του συνεδρίου, ακολουθούμενοι από την πρώτη παρουσίαση του Δρ. Γρηγόρη Λαζαράκου.
Οι δύο όψεις της χρήσης των social media στις εκλογές: Εργαλείο διαλόγου με το εκλογικό σώμα ή χειραγώγησής του;
Ο Δρ. Γρηγόρης Λαζαράκος, Δικηγόρος παρ’ Αρείω Πάγω, Υπεύθυνος Προστασίας Δεδομένων στη Βουλή των Ελλήνων, προσέγγισε το ζήτημα της χρήσης των social media στις εκλογές, τονίζοντας την ευρεία χρήση τους στην πολιτική επικοινωνία. Από τη μία, η φωτεινή όψη των social media είναι ότι λειτουργούν ως εργαλείο διαλόγου με το εκλογικό σώμα, όμως η σκοτεινή πλευρά ξεκινάει από τη στόχευση βάσει των παρεχόμενων από τον χρήστη δεδομένων και γίνεται ακόμα πιο προβληματική με τη στόχευση της πολιτικής διαφήμισης βάσει των συναγόμενων δεδομένων, όπου εξάγονται συμπεράσματα για τις πολιτικές πεποιθήσεις του χρήστη μέσω συνδυασμού δεδομένων, όπως η ηλικία, τα ενδιαφέροντα και η κατοικία. Ακόμα πιο επικίνδυνη είναι η χρήση αυτοματοποιημένων και απατηλών μεθόδων (“computational propaganda”), ενώ στο πλαίσιο αυτό έγινε αναφορά και στο σκάνδαλο Facebook – Cambridge Analytica. Τέλος, ο ομιλητής αναφέρθηκε και στα bots που συχνά χρησιμοποιούνται για την ενίσχυση της διαδικτυακής προπαγάνδας και των εκστρατειών μίσους, αλλά και στα fake news, τα οποία, αν και έχουν γίνει νομοθετικές ενέργειες για την καταπολέμησή τους, παραμένουν ακόμα σημαντικό πρόβλημα στα social media.
International cooperation for protected cross-border data flows
Στη συνέχεια, το λόγο έλαβε ο Thomas Boué, Director General, Policy – EMEA, BSA | The Software Alliance, ο οποίος παρουσίασε το ζήτημα της διασυνοριακής συνεργασίας για τις προστατευόμενες διασυνοριακές ροές δεδομένων, εκφράζοντας την άποψη ότι το πρόβλημα δεν είναι η πρόσβαση των εταιρειών στα δεδομένα, αλλά η πρόσβαση τρίτων κυβερνήσεων και η απουσία ξεκάθαρου νομοθετικού πλαισίου. Έπειτα, ο ομιλητής αναφέρθηκε στο Εκτελεστικό Διάταγμα 14086 του Οκτωβρίου 2022 στις ΗΠΑ, αλλά και τις αρχές του ΟΟΣΑ για την αξιόπιστη κυβερνητική πρόσβαση σε προσωπικά δεδομένα, ενώ έκλεισε την ομιλία του με τον σχολιασμό της πρόσφατης Συνόδου Κορυφής των G7 στη Χιροσίμα, όπου συμφωνήθηκε η έγκαιρη δημιουργία διεθνούς πλαισίου για την ελεύθερη ροή δεδομένων με εμπιστοσύνη (DFFT).
Dark Patterns in Privacy: How to detect them and switch to fair patterns by design
Στην επόμενη παρουσίαση, ο Scott LaMunyon, Legal Counsel, Amurabi, επεσήμανε το πρόβλημα της τυφλής συγκατάθεσης των χρηστών, η οποία δεν βασίζεται σε πραγματική κατανόηση ούτε σε έλεγχο από μέρους τους. Στόχος, επομένως, είναι η δημιουργία πολιτικών ιδιωτικότητας που βοηθούν τους χρήστες στην κατανόηση και ενισχύουν την εμπλοκή τους. Με βάση αυτόν τον στόχο, ο κ. LaMunyon ανέδειξε συγκεκριμένα projects που έχει αναλάβει η Amurabi ως εταιρεία legal design και τα οποία σχεδίασαν πολύπλοκα νομικά κείμενα σχετικά με την προστασία των προσωπικών δεδομένων σε απλές δομές που εγγυώνται την πραγματική συμμόρφωση των οργανισμών και τη συγκατάθεση των χρηστών. Μάλιστα, στην παρουσίασή του παρείχε συγκεκριμένες αρχές και μεθοδολογία για τη δημιουργία δίκαιων και διαφανών προτύπων που δεν χειραγωγούν τον χρήστη.
Cybersecurity legal and regulatory landscape–challenges & opportunities
Ο Michael Haggar, Sr. Security Technical Specialist at Microsoft και ο Nikolaos Gargalis, Cybersecurity, Data Protection & Privacy Manager at EY, παρουσίασαν το report που συνέθεσαν οι δύο εταιρείες σχετικά με το νομικό και κανονιστικό πλαίσιο για την κυβερνοασφάλεια. Στο report παρέχεται μια ολοκληρωμένη ανάλυση του εν λόγω πλαισίου στην Ελλάδα και την ΕΕ με παράλληλο προσδιορισμό των προκλήσεων που καλείται να αντιμετωπίσει κάθε οργανισμός ως προς τη συμμόρφωσή του με αυτό. Επιπλέον, η έκθεση περιλαμβάνει και τα αποτελέσματα ερωτηματολογίου σε 15 εταιρείες που ηγούνται στον κλάδο τους και εκφράζουν τους προβληματισμούς τους για το κανονιστικό πλαίσιο και τις προκλήσεις της τεχνολογίας στη λειτουργία τους. Οι δύο ομιλητές έκλεισαν την ομιλία τους με την παρουσίαση των λύσεων που προσφέρουν η Microsoft και η EY ως προς την κυβερνοασφάλεια.
Panel Discussion: Ποιες είναι οι προκλήσεις της τεχνητής νοημοσύνης στην προστασία της ιδιωτικότητας και πώς διαμορφώνεται ο ρόλος του DPO στην ψηφιακή εποχή;
Στη συζήτηση, την οποία συντόνισε ο Σπύρος Τάσσης, Πρόεδρος Ελληνικής Ένωσης για την Προστασία Προσωπικών Δεδομένων και Ιδιωτικότητας, και συμμετείχαν η Κική Τσουρού, Υπεύθυνη Προστασίας Δεδομένων ΤΕΙΡΕΣΙΑΣ ΑΕ, μέλος (ISC)2 Ηellenic Chapter, και ο Χαράλαμπος Αλεβιζόπουλος, DPO, Optima bank, τονίστηκε η ανάγκη να βρεθεί η ισορροπία ανάμεσα στις δύο αντίρροπες δυνάμεις, από τη μία τη συμμόρφωση των εταιρειών στο κανονιστικό πλαίσιο για την προστασία των προσωπικών δεδομένων και από την άλλη την αξιοποίηση αυτών των δεδομένων, και μάλιστα σε μια εποχή με τη σημαντική πρόκληση της τεχνητής νοημοσύνης.
Η κ. Τσουρού σκιαγράφησε τον ρόλο του DPO στη σύγχρονη Ευρώπη ως αρκετά περίπλοκο, με δεδομένο ότι 5 χρόνια μετά την εφαρμογή του GDPR γίνεται η μετάβαση από το data protection στο data governance με πληθώρα νομοθετημάτων, για τα οποία ο υπεύθυνος προστασίας δεδομένων πρέπει να ενημερώνεται συνεχώς. Αντιστοίχως, ο κ. Αλεβιζόπουλος επεσήμανε τον ρόλο του DPO ως συνδετικού κρίκου ανάμεσα στη ρυθμιστική αρχή και τον οργανισμό στον οποίο εργάζεται, μια πρόκληση που ενισχύεται με την ανάπτυξη της τεχνητής νοημοσύνης.
Περαιτέρω, αναφορικά με τη συμμόρφωση της αγοράς στην προστασία των προσωπικών δεδομένων, η κ. Τσουρού τόνισε τη σημασία της ανθρώπινης εποπτείας από εξειδικευμένο προσωπικό καθ’ όλη τη λειτουργία των συστημάτων τεχνητής νοημοσύνης, έτσι ώστε να αποδειχθεί ότι ο άνθρωπος μπορεί να τιθασεύσει τις μηχανές, ενώ ο κ. Τάσσης αναφέρθηκε στον ν. 4961/2022, την υποχρέωση εκτίμησης αντικτύπου της τεχνητής νοημοσύνης στα ανθρώπινα δικαιώματα και την συνεπαγόμενη αύξηση της πολυπλοκότητας του ρόλου του DPO. Σχετικώς, ο κ. Αλεβιζόπουλος θεωρεί ότι οι υπεύθυνοι προστασίας δεδομένων οφείλουν ηθικά να συμμετέχουν σε αυτή τη διαδικασία ως εγγυητές της προστασίας των ανθρωπίνων δικαιωμάτων.
Ως προς τους κινδύνους της τεχνητής νοημοσύνης στην ιδιωτικότητα, ο κ. Αλεβιζόπουλος εξήγησε ότι οι κίνδυνοι εξαρτώνται από το κατά πόσον θα ακολουθηθεί μια ανθρωποκεντρική προσέγγιση, δεδομένου ότι τα συστήματα τεχνητής νοημοσύνης γίνονται ολοένα εξυπνότερα και ακόμα και οι ίδιοι οι προγραμματιστές δεν μπορούν απόλυτα να ελέγξουν τη λειτουργία τους. Η κ. Τσουρού διευκρίνισε ότι ο άνθρωπος μπορεί να ελέγξει μόνο τα δεδομένα, με τα οποία τροφοδοτεί τη μηχανή, όμως είναι αντιμέτωπος με την αδιαφάνεια ως προς τον τρόπο με τον οποίο η τεχνητή νοημοσύνη εξάγει συμπεράσματα, χάνοντας έτσι την επεξηγηματικότητα στη διαδικασία. Ωστόσο, το στοίχημα κατά την κ. Τσουρού είναι να μην καταργήσουμε εντελώς την τεχνητή νοημοσύνη στην προσπάθειά μας να προστατεύσουμε τα προσωπικά δεδομένα.
Τα (νέα) δεδομένα στην Ισότητα, τη Διαφορετικότητα και τη Συμπερίληψη
Στην παρουσίασή της, η Στέλλα Κάσδαγλη, Συνιδρύτρια Women On Top, European Women On Boards partner για την Ελλάδα, έθιξε το ζήτημα του ρόλου των δεδομένων στον σχεδιασμό δράσεων συμπερίληψης, δίνοντας μάλιστα ως παράδειγμα τις ευρωπαϊκές και διεθνείς πολιτικές που επιβάλλουν την αξιοποίησή τους. Κατά την κ. Κάσδαγλη, ο GDPR περιπλέκει τον τρόπο, με τον οποίο μπορούν να χρησιμοποιηθούν ευαίσθητα προσωπικά δεδομένα σε εταιρικούς τομείς, όπως οι αμοιβές, οι προαγωγές, οι συμβάσεις και η υγεία και ασφάλεια. Το self-reporting, ως μηχανισμός παροχής τέτοιων δεδομένων, έχει το πρόβλημα του φόβου άνισης μεταχείρισης και στίγματος, οπότε θα πρέπει να ανευρεθούν καλές πρακτικές που θα ξεπεράσουν τέτοιου είδους εμπόδια, όπως για παράδειγμα τα ανωνυμοποιημένα δεδομένα, τα οποία ωστόσο έχουν υπέρ και κατά.
Secure AI for the Intelligent World
O Ιωάννης Σολωμάκος, Chief Security Officer, Huawei, Νότια Βαλκάνια, περιέγραψε τον λεγόμενο «ευφυή κόσμο», όπως αυτός θα έχει διαμορφωθεί το 2030 με την ανάπτυξη της τεχνητής νοημοσύνης, και εξήγησε το πώς θα τεθούν όρια σε αυτή, έτσι ώστε η συλλογή δεδομένων να συμμορφώνεται με το νομικό πλαίσιο για την προστασία δεδομένων και μάλιστα σε διάφορους ρόλους στο εταιρικό γίγνεσθαι. Κλείνοντας, ο κ. Σολωμάκος θέλησε να αναδείξει και τις θετικές πτυχές της τεχνητής νοημοσύνης, παρουσιάζοντας το project για την προστασία των δασών από τις πυρκαγιές, το οποίο αξιολογεί πολύπλοκα δεδομένα για την έγκαιρη πρόληψη και παρέμβαση.
AI και Προσωπικά Δεδομένα. Πού τέμνονται και πού χωρίζονται;
Ο Νικόλας Κανελλόπουλος, Εκτελεστικός Διευθυντής, Ινστιτούτο για την Προστασία της Ιδιωτικής ζωής, των Προσωπικών Δεδομένων και την Τεχνολογία, αναφέρθηκε στη διασταύρωση τεχνητής νοημοσύνης και προσωπικών δεδομένων, αλλά και στην ανάγκη θέσπισης κανόνων στα αχαρτογράφητα νερά, όπου αναδύονται ποικίλοι κίνδυνοι. Η ενίσχυση της εμπιστοσύνης του κοινού στην τεχνητή νοημοσύνη και η αντιμετώπιση κοινωνικών διακρίσεων που ενδέχεται να προκύψουν από τα συστήματα AI αποτελούν βασικούς στόχους σε αυτό το πλαίσιο, οι οποίοι μπορούν να επιτευχθούν μέσω της διαφάνειας, της δικαιοσύνης, της καινοτομίας και της συνεργασίας όλων των εμπλεκόμενων φορέων και κέντρων αποφάσεων.
ChatGPT under the scrutiny of the Italian DPA: lessons learnt
Στην επόμενη παρουσίαση, ο Antonio Racano, Senior Lawyer, Osborne Clarke, μίλησε για την απόφαση της ιταλικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στις 30 Μαρτίου για τον περιορισμό της λειτουργίας του ChatGPT, επειδή παραβίαζε το κανονιστικό πλαίσιο για την προστασία των προσωπικών δεδομένων, εφόσον δεν υπήρχε συγκεκριμένη νομική βάση για τη συλλογή τους. Την απόφαση αυτή ακολούθησε η απόφαση της 11ης Απριλίου, στην οποία καθορίζονταν συγκεκριμένες προϋποθέσεις για την επεξεργασία των δεδομένων από το πρόγραμμα τεχνητής νοημοσύνης. Τα κυριότερα συμπεράσματα που εξήχθησαν από τις αποφάσεις είναι η δυσκολία εξασφάλισης των δικαιωμάτων των χρηστών, η ανάγκη ευαισθητοποίησής τους, αλλά και ότι τα μέτρα που σχετίζονται με την ηλικία τους παραμένουν ένα ανοιχτό ζήτημα. Ο ομιλητής, μάλιστα, θεωρεί αναμενόμενη τη διένεξη που προέκυψε ανάμεσα στην ιταλική ΑΠΔΠΧ και την OpenAI, καθώς η στρατηγική της Ιταλίας για την τεχνητή νοημοσύνη στοχεύει κυρίως στην προστασία των θέσεων εργασίας από την εξαφάνιση και όχι τόσο στην ανάπτυξη αυτού του τεχνολογικού τομέα.
Η πιστοποίηση της προστασίας προσωπικών δεδομένων: Εναλλακτικές & προοπτικές
Ο Γιώργος Λευθεριώτης, MSc, MBA, TÜV HELLAS (TÜV NORD), ξεκίνησε την παρουσίασή του με την επισήμανση των ολοένα αυξανόμενων απαιτήσεων συμμόρφωσης και των πλεονεκτημάτων που προσφέρει η πιστοποίηση στον τομέα της ιδιωτικότητας. Στη συνέχεια, περιέγραψε τους διαθέσιμους οδικούς χάρτες για αυτή την πιστοποίηση με συγκεκριμένη λίστα διεθνών και ευρωπαϊκών σχετικών πιστοποιητικών, όπως το GDPR (Art. 42/43) Certification και το PIMS (ISO 27001/27701), κάνοντας μάλιστα σύγκριση ανάμεσα στις δύο αυτές γνωστότερες πιστοποιήσεις με βάση τα πλεονεκτήματα, τις προϋποθέσεις και τη διαδικασία τους.
Δράσεις της Ηοmo Digitalis ενώπιον της ΑΠΔΠΧ: Μία σύντομη επισκόπηση υποθέσεων σχετικά με Διατήρηση Μεταδεδομένων, Βάσεις Βιομετρικών Δεδομένων και Συστήματα ΤΝ
Ο Λευτέρης Χελιουδάκης, Δικηγόρος, Γραμματέας ΔΣ Homo Digitalis, αναφέρθηκε σε σημαντικές δράσεις της Homo Digitalis, όπως οι υποθέσεις για τα μεταδεδομένα της ηλεκτρονικής επικοινωνίας, για την πρόσβαση της Ελληνικής Αστυνομίας στα βιομετρικά δεδομένα των χρηστών στα διαβατήρια, για τη χρήση καμερών από την ΕΛΑΣ σε δημόσιους χώρους και για την αναγνώριση προσώπου και την ταυτοποίηση δακτυλικών αποτυπωμάτων κατά τη διάρκεια του αστυνομικού ελέγχου. Οι εν λόγω υποθέσεις βρίσκονται στο στάδιο της έρευνας από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ύστερα από καταγγελίες που πραγματοποιήθηκαν από τη Homo Digitalis για πιθανή παραβίαση του νομικού πλαισίου προστασίας των προσωπικών δεδομένων.
In This World of Ever-Mounting Surveillance, the Need to Preserve Our Privacy, Which Forms the Foundation of our Freedom, has Never Been Greater
Στην τελευταία εισήγηση του συνεδρίου, η Dr. Ann Cavoukian, Ph.D., LL.D. (Hon.), M.S.M., Executive Director, Global Privacy & Security by Design Centre, σκιαγράφησε τα χαρακτηριστικά της ιδιωτικότητας, τονίζοντας ότι η ιδιωτικότητα δεν σχετίζεται με την ανάγκη του χρήστη να κρύψει κάτι, αλλά με τον έλεγχο στα προσωπικά του δεδομένα, την ελευθερία του και την κοινωνική ευημερία. Έπειτα, παρουσίασε τις 7 βασικές αρχές του Privacy by Design, ενός concept το οποίο έχει η ίδια δημιουργήσει ως εργαλείο ενσωμάτωσης των επιταγών της ιδιωτικότητας στις νέες τεχνολογίες και τις πρακτικές της ιδιωτικότητας. Οι τομείς εφαρμογής του, όπως η ίδια ξεκαθάρισε, είναι ευρείς και επεσήμανε ότι έχει σημαντικές ομοιότητες με τον GDPR και συμβάλλει στην έγκαιρη πρόληψη, μειώνοντας τους κινδύνους παραβίασης της προστασίας των δεδομένων.
Ο οργανισμός προστασίας δεδομένων της ΕΕ ξεκινά έρευνα κατά της Frontex
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) δημοσίευσε έκθεση, η οποία βασίζεται σε έλεγχο που πραγματοποιήθηκε τον Οκτώβριο του 2022 και σύμφωνα με την οποία η Frontex παραβιάζει το νομικό πλαίσιο περί προστασίας δεδομένων, καθώς δεν χειρίζεται σύννομα τα δεδομένα των μεταναστών κατά την επεξεργασία των ερωτηματολογίων πριν από την παράδοσή τους στη Europol. Πρόκειται για ανώνυμες και εθελοντικές συνεντεύξεις με στόχο τη συλλογή πληροφοριών σχετικά με τις μεταναστευτικές ροές και την πρόληψη της λαθραίας διακίνησης και εμπορίας ανθρώπων, όμως η έκθεση αναφέρει ότι ζητούνται πληροφορίες που καθιστούν τα πρόσωπα αναγνωρίσιμα, αλλά και ότι η επεξεργασία των προσωπικών δεδομένων δεν είναι επαρκής και αναγκαία ούτε υπόκειται στην απαραίτητη ανάλυση κινδύνου πριν διαβιβαστεί στην Europol. Ο EDPS έχει δώσει προθεσμία στη Frontex μέχρι το τέλος του 2023, για να επιλύσει τα ζητήματα επεξεργασίας, αποθήκευσης και προστασίας των δεδομένων.
Η Microsoft θα καταβάλει 20 εκατ. δολάρια για τις κατηγορίες σχετικά με παράνομη συλλογή δεδομένων παιδιών
Η Microsoft θα καταβάλει πρόστιμο 20 εκατ. δολαρίων, για να διευθετήσει τις κατηγορίες της Ομοσπονδιακής Επιτροπής Εμπορίου των ΗΠΑ ότι συνέλεξε και διατήρησε παράνομα τα δεδομένα των παιδιών που εγγράφηκαν, για να χρησιμοποιήσουν την κονσόλα βιντεοπαιχνιδιών Xbox. Η επιτροπή κατηγόρησε τη Microsoft ότι συνέλεξε και διατήρησε τα δεδομένα χωρίς να ενημερώσει τους γονείς ή να λάβει τη συγκατάθεσή τους, παραβιάζοντας τον νόμο περί προστασίας της ιδιωτικής ζωής των παιδιών στο διαδίκτυο. Ο διακανονισμός πρέπει να εγκριθεί από ομοσπονδιακό δικαστήριο προτού τεθεί σε ισχύ.
Το ΔΕΕ καταδίκασε την Πολωνία σχετικά με την ανεξαρτησία της δικαιοσύνης στη χώρα
Το Δικαστήριο της Ευρωπαϊκής Ένωσης έκρινε ότι οι μεταρρυθμίσεις της Πολωνίας στον τομέα της δικαιοσύνης που έγιναν το 2019 παραβιάζουν τους νόμους της ΕΕ για την αποτελεσματική δικαστική προστασία, την ανεξαρτησία της δικαιοσύνης και το κράτος δικαίου. Το δικαστήριο τάχθηκε υπέρ της Ευρωπαϊκής Επιτροπής, η οποία είχε εκκινήσει διαδικασία επί παραβάσει κατά της Πολωνίας. Το ΔΕΕ διαπίστωσε ότι διάφορες διατάξεις του νόμου για τη μεταρρύθμιση των δικαστηρίων της Πολωνίας παραβιάζουν τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, όπως η δημιουργία Πειθαρχικού Τμήματος του Ανώτατου Δικαστηρίου, η εξουσία που ανατίθεται στο έκτακτο τμήμα αναθεώρησης και δημόσιων υποθέσεων του Ανώτατου Δικαστηρίου, αλλά και παραβιάσεις της προστασίας των προσωπικών δεδομένων των δικαστών. Αυτή δεν είναι η πρώτη φορά που η Πολωνία και η Επιτροπή έχουν διαφορές για ζητήματα κράτους δικαίου, καθώς τον Φεβρουάριο η Επιτροπή παρέπεμψε την Πολωνία στο ΔΕΕ για μια σειρά αποφάσεων του Συνταγματικού Δικαστηρίου της Πολωνίας, οι οποίες, σύμφωνα με την Επιτροπή, παραβίαζαν τις πολιτικές της ΕΕ για το κράτος δικαίου.