Machine Learning και Προσωπικά Δεδομένα: Ζητήματα εφαρμογής του ΓΚΠΔ

Μάριος Σιούφας Αναπληρωτής Διευθύνων Εταίρος / Deputy Managing Partner της Σιούφας και Συνεργάτες Δικηγορική Εταιρεία

Ο ρόλος που διαδραματίζουν τα προσωπικά δεδομένα στην ανάπτυξη και τη χρήση συστημάτων τεχνητής νοημοσύνης (εφεξής ΤΝ) είναι πολύ σημαντικός. Πολλές τεχνικές ανάπτυξης, όπως το machine και deep learning, στηρίζονται στα δεδομένα αυτά, έτσι ώστε να καταστούν λειτουργικά και αποδοτικά.

Πριν την υλοποίηση ενός έργου ΤΝ, είναι υψίστης σημασίας να ελεγχθεί το νομικό πλαίσιο, ειδικά ως προς την πρόσβαση στα δεδομένα και την περαιτέρω χρήση αυτών.

Ο ΓΚΠΔ εφαρμόζεται σε κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Στον ΓΚΠΔ δεν υπάρχει συγκεκριμένη αναφορά στην ΤΝ.

Εφόσον για τα δεδομένα που επεξεργάστηκε ή επεξεργάζεται ένας υπεύθυνος επεξεργασίας, μέσω ενός συστήματος ΤΝ, είτε ως training data είτε ως input data, έχουν εφαρμοστεί τεχνικές ανωνυμοποίησης ή ψευδωνυμοποίησης, τότε εφαρμόζεται η σκέψη 26 του ΓΚΠΔ (ο έλεγχος της εύλογης επαναταυτοποίησης – Reasonable Reidentification Test).

Ειδικότερα, τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση, η οποία θα μπορούσε να αποδοθεί σε φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών, θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο. Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. Από την άλλη μεριά, οι αρχές της προστασίας δεδομένων δεν θα πρέπει να εφαρμόζονται σε ανώνυμες πληροφορίες.

Ως εκ τούτου, πρέπει να εξετάζεται σε τι βαθμό το σύστημα ΤΝ παρέχει τα μέσα τα οποία είναι ευλόγως πιθανόν ότι θα χρησιμοποιηθούν για την ταυτοποίηση των υποκειμένων των δεδομένων.Σύμφωνα με το άρθρο 5 ΓΚΠΔ, για να είναι νόμιμη η επεξεργασία, πρέπει αυτή να διέπεται από συγκεκριμένες αρχές, όπως:
α) Η αρχή του περιορισμού του σκοπού της επεξεργασίας. Τα δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο.

Ως περαιτέρω επεξεργασία ορίζεται η επεξεργασία για διαφορετικό σκοπό από εκείνον για τον οποίο είχαν αρχικά συλλεχθεί. Τέτοια επεξεργασία δεν επιτρέπεται, πλην εξαιρέσεων, π.χ. όταν θεωρείται συμβατή με τον αρχικό σκοπό, όταν έχει ληφθεί η συγκατάθεση του υποκειμένου ή για σκοπούς επιστημονικής, ιστορικής έρευνας, καθώς και για στατιστικούς σκοπούς.

Σχετικά με την ΤΝ, τίθεται το ζήτημα αν τα training data έχουν συλλεχθεί νομίμως, αν μπορούν να χρησιμοποιηθούν νομίμως για την εκπαίδευση ενός μοντέλου ΤΝ ως περαιτέρω επεξεργασία, ποιο συγκεκριμένο σκοπό επεξεργασίας έχουν τα input data και αν τυχόν χρησιμοποιούνται περαιτέρω για άλλους σκοπούς, π.χ. βελτίωση του συστήματος ΤΝ. Για τα ανωτέρω ζητήματα θα πρέπει να υπάρχει σαφώς επαρκής διαφάνεια και ενημέρωση (άρθρο 12), έτσι ώστε να ικανοποιείται η αρχή του περιορισμού.

Σημειωτέο ότι ως προς την περαιτέρω επεξεργασία, το σχέδιο Νόμου της ΤΝ, (άρθρο 54) επιτρέπει (στο πλαίσιο ρυθμιστικού δοκιμαστηρίου (sandbox) ΤΝ), τα δεδομένα που έχουν συλλεχθεί νόμιμα για άλλους σκοπούς να υποβάλλονται σε επεξεργασία για τους σκοπούς της ανάπτυξης και της δοκιμής ορισμένων καινοτόμων συστημάτων ΤΝ υπό προϋποθέσεις.

β) Ομοίως, η αρχή της αναλογικότητας προϋποθέτει τα δεδομένα να συλλέγονται και να διατηρούνται στο βαθμό που είναι απαραίτητο για την εκπλήρωση προκαθορισμένου σκοπού. Σύμφωνα με τις Κατευθυντήριες γραμμές του EDPB για την προστασία δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (2020), ο υπεύθυνος επεξεργασίας οφείλει να ελέγχει εάν οι σχετικοί σκοποί μπορούν να επιτευχθούν με την επεξεργασία λιγότερων δεδομένων προσωπικού χαρακτήρα.

Ο σχεδιασμός ενός συστήματος ΤΝ οφείλει να λάβει υπόψιν και τη σημαντική παράμετρο αυτή.

γ) Κατά την αρχή της ακρίβειας των δεδομένων, αυτά πρέπει να διατηρούνται ακριβή και οι υπεύθυνοι επεξεργασίας πρέπει να λαμβάνουν προληπτικά μέτρα για να διασφαλίζουν ότι τα δεδομένα ενημερώνονται δεόντως.

Η αρχή αυτή εφαρμόζεται στην ΤΝ, σχετικά με την πρόληψη των διακρίσεων. Τα input και τα training data πρέπει να είναι ακριβή σε σχέση με τον επιδιωκόμενο σκοπό, υπό την έννοια ότι πρέπει να μην οδηγούν σε διακρίσεις. Έτσι, τα training data πρέπει να επιλέγονται πολύ προσεκτικά, αφού έχει προηγηθεί πρώτα η διαδικασία του data labelling ή cleaning.

δ) Η αρχή της νομιμότητας είναι εξαιρετικά σημαντική ως προς την ΤΝ, αφού οι υπεύθυνοι επεξεργασίας πρέπει να εξετάζουν το αποτέλεσμα της χρήσης της ΤΝ και τις πιθανές επιπτώσεις της επεξεργασίας και να αποτρέπουν τυχόν ανεπιθύμητες συνέπειες.

Χαρακτηριστικό παράδειγμα αποτελεί η κατάρτιση προφίλ και τυχόν διακρίσεις που μπορεί να προκύψουν. Στην περίπτωση της αυτοματοποιημένης λήψης αποφάσεων και της κατάρτισης προφίλ πρέπει να παρέχονται σημαντικές πληροφορίες στο υποκείμενο, σχετικά με τη λογική που υπάρχει πίσω από τη διαδικασία λήψης αποφάσεων, ιδιαίτερα δε όταν παράγονται έννομα αποτελέσματα για το υποκείμενο. Ωστόσο, οι κατευθυντήριες γραμμές του EDPB επεκτείνουν την υποχρέωση αυτή σε όλες τις πράξεις επεξεργασίας που περιλαμβάνουν αυτοματοποιημένη λήψη αποφάσεων.

ε) Το δικαίωμα πρόσβασης στα δεδομένα και το δικαίωμα διαγραφής των δεδομένων παρουσιάζουν επίσης ορισμένα πρακτικά ζητήματα. Ποια χαρακτηρίζονται ως δεδομένα προσωπικού χαρακτήρα κατά την εφαρμογή μιας διαδικασίας που αφορά ένα neural network και, ως εκ τούτου, ποια δεδομένα παρέχoνται στο υποκείμενο των δεδομένων; Είναι δυνατή η διαγραφή δεδομένων από ένα μοντέλο ΤΝ; Έχει καν νόημα;

Ως προς τη νομική βάση, η επεξεργασία είναι σύννομη μόνο εάν ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης, γ)…, δ) …, ε) …, στ)… .

Σχετικά με την ΤΝ, η νομική βάση (β), ήτοι η αναγκαιότητα για την εκτέλεση της σύμβασης, για τον σκοπό της επεξεργασίας δεδομένων χρηστών, έτσι ώστε να εκπαιδευτεί ένας αλγόριθμός (π.χ. ChatGPT) είναι εξαιρετικά προβληματική. Τούτο, άλλωστε, αναγνωρίστηκε και από το ότι η Ιταλική Αρχή προστασίας δεδομένων, σχετικά με την εκπαίδευση των αλγορίθμων με τα δεδομένα των χρηστών, ανάγκασε την εταιρεία OpenAI (ChatGPT) να αφαιρέσει από όλα τα σχετικά έγγραφά της τις αναφορές σε «εκτέλεση της σύμβασης» και να βασιστεί είτε στη συγκατάθεση ή στο έννομο συμφέρον, ως κατάλληλη νομική βάση.

Ομοίως, στην υπόθεση της επιβολής προστίμου από την Γαλλική Αρχή προστασίας δεδομένων (CNIL) κατά της Clearview AI, η Γαλλική Αρχή κατέληξε ότι η εταιρεία αφενός δεν λαμβάνει τη συγκατάθεση των υποκειμένων για τη συλλογή και χρήση των δεδομένων τους, αλλά ούτε έχει έννομο συμφέρον να επεξεργάζεται τα δεδομένα αυτά, ιδίως δεδομένης της παρεμβατικής και μαζικής φύσης της επεξεργασίας.

Τέλος, σύμφωνα με το άρθρο 9.1 του ΓΚΠΔ, δεδομένα ειδικών κατηγοριών είναι ενδεικτικά, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τα γενετικά και βιομετρικά δεδομένα, τα δεδομένα υγείας κλπ.

Κατά κανόνα, η επεξεργασία τους απαγορεύεται και επιτρέπεται μόνο σε ορισμένες εξαιρετικές περιπτώσεις (άρθρο 9.2), ήτοι με τη ρητή συγκατάθεση του υποκειμένου των δεδομένων ή σε περιπτώσεις όπου επιδιώκεται ανώτερος, επιτακτικός σκοπός, ή έχουν προδήλως δημοσιοποιηθεί από το ίδιο το υποκείμενο.

Ωστόσο, για τα ανωτέρω δεδομένα, με το άρθρο 10 του σχεδίου νόμου για την ΤΝ, εισάγεται μία περαιτέρω εξαιρετική περίπτωση επεξεργασίας σε εκείνες του άρθρου 9.2 και έτσι, εφόσον είναι απολύτως απαραίτητο για τους σκοπούς της διασφάλισης της παρακολούθησης, ανίχνευσης και διόρθωσης σε σχέση με τα συστήματα ΤΝ υψηλού κινδύνου, οι πάροχοί τους μπορούν να επεξεργάζονται ειδικές κατηγορίες δεδομένων που αναφέρονται στο άρθρο 9 παρ. 1 με την επιφύλαξη κατάλληλων εγγυήσεων και τεχνικών περιορισμών.