Συνέντευξη με τον Σπύρο  Τάσση – Δικηγόρο, LLM,  Πρόεδρο της Ελληνικής Ένωσης για την Προστασία της Ιδιωτικότητας

Κύριε Τάσση, πείτε μας αρχικά λίγα πράγματα για την Ελληνική Ένωση για την Προστασία της Ιδιωτικότητας (HADPP). Τι σκοπούς έχει, ποιες δράσεις αναλαμβάνει και  ποιοι μπορούν να γίνουν μέλη ;

Η Ελληνική Ένωση για την Προστασία των Προσωπικών Δεδομένων και της Ιδιωτικότητας αποτελεί τον παλαιότερο και μεγαλύτερο επιστημονικό μη-κερδοσκοπικό φορέα στην Ελλάδα για τα ζητήματα της ιδιωτικότητας τόσο στον φυσικό όσο και στον ψηφιακό κόσμο. Αποτελείται από δύο ομάδες: την επιστημονική ομάδα που αποτελείται από πανεπιστημιακούς που ασχολούνται με τα σχετικά αυτά ζητήματα και την επαγγελματική ομάδα που αποτελείται από επαγγελματίες νομικούς και ΙΤ συμβούλους που ασχολούνται στην πράξη με τα θέματα της προστασίας της ιδιωτικότητας. Μέλος μπορεί να γίνει καθένας που ασχολείται με το αντικείμενο της Ένωσης, αποστέλλοντας το ενδιαφέρον του στο email info@dataprotection.gr .

Ιδιωτικότητα και Ασφάλεια! Έννοιες αντίθετες, ταυτόσημές ή αλληλοσυμπληρωμένες; Ποια είναι η δική τους θέση και πως επιτυγχάνεται  βέλτιστη ισορροπία μεταξύ τους σε ένα οργανισμό;  

Πράγματι οι δύο αυτές έννοιες φαίνονται καταρχήν αντικρουόμενες, κυρίως διότι η επιδίωξη της ασφάλειας συχνά αποτελεί μοχλό για περιορισμό της ιδιωτικότητας χάριν του έννομου συμφέροντος είτε δημοσίου είτε ιδιωτικού. Όμως δεν υπάρχει αμφιβολία ότι η επιδίωξη της ασφάλειας είναι και ο μεγαλύτερος στόχος στην συμμόρφωση ενός οργανισμού με τις επιταγές της νομοθεσίας για αποτελεσματική προστασία της ιδιωτικότητας, ανάλογα, πάντα, με τα δεδομένα και τα δικαιώματα που διακυβεύονται.

Η ασφάλεια, ως μέτρο προστασίας πληροφοριών, αρχίζει να προβληματίζει όταν χρησιμοποιείται ως μοχλός απόκρυψης διεργασιών που αφορούν την ιδιωτικότητα. Η απόκρυψη της αναγκαίας πληροφόρησης, η ελαττωμένη διαφάνεια στην συλλογή και επεξεργασία προσωπικών δεδομένων καθώς και η αιφνιδιαστική αλλαγή των σκοπών επεξεργασίας, είτε σε δημόσιους είτε σε ιδιωτικούς οργανισμούς, με επίκληση της ανάγκης για ασφάλεια καθώς και η υπέρμετρη χρήση της τεχνολογίας για τον έλεγχο υποκειμένων όπως για παράδειγμα οι εργαζόμενοι, μπορούν να αποτελέσουν τροχοπέδη στην ορθή εφαρμογή του Κανονισμού και, παράλληλα, έναν τρόπο καταστρατήγησης βασικών δικαιωμάτων των υποκειμένων των δεδομένων. Ο πιο συνήθης τρόπος για μία τέτοια ρύθμιση είναι η επαναλαμβανόμενη επίκληση της δημόσιας τάξης και της εθνικής ασφάλειας ως αφορμή για την δημιουργία ολόκληρων κατηγοριών διαδικασιών συλλογής και επεξεργασίας δεδομένων που δεν υπόκεινται στον έλεγχο των εποπτικών αρχών ή όπου τα δικαιώματα των υποκειμένων (κυρίως το δικαίωμα ενημέρωσης και αντίταξης) υποχωρούν σημαντικά.

Νόμος 4624/2019 και ΓΚΠΔ. Τι καινούργιο επιφέρει και πόσο θα επηρεάσει τις επιχειρήσεις τους δημόσιους οργανισμούς;

Ο νόμος αυτός αποτέλεσε σημείο κριτικής τόσο για τον χρόνο της διαβούλευσης (μέσα στον Αύγουστο) όσο και για το περιεχόμενο ορισμένων άρθρων. Η αλήθεια είναι ότι υπήρχε αρκετή πολιτική πίεση για την ψήφιση του νόμου, αφού ήδη η Ελλάδα κινδυνεύει με πρόστιμο για την μη έγκαιρη ενσωμάτωση της λεγόμενης αστυνομικής Οδηγίας (Οδηγία 680/2016/ΕΚ, η οποία αφορά την επεξεργασία δεδομένων από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων) και όχι για την μη έκδοση εφαρμοστικού νόμου για τον Κανονισμό, όπως λανθασμένα γράφτηκε από μερίδα του Τύπου. Η αναγκαία ενσωμάτωση της Οδηγίας αυτής γίνεται στο ίδιο κείμενο του νόμου.

Στα θετικά είναι η ύπαρξη, επιτέλους, ενός εφαρμοστικού νόμου για τον Κανονισμό γιατί υπήρξε πράγματι ανάγκη για την ψήφιση του. Η αγορά, όσο και να λέμε ότι ο Κανονισμός ισχύει αυτόματα, χρειαζόταν έναν εθνικό εφαρμοστικό νόμο και την ρητή κατάργηση του νόμου 2472/1997. Στα θετικά, επίσης, η αποσαφήνιση του τρόπου άσκησης κάποιων δικαιωμάτων των υποκειμένων, ο ορισμός της ηλικίας των 15 ετών ως όριο για λήψη υπηρεσιών ΚτΠ από ανήλικους χωρίς την συγκατάθεση των γονέων ή κηδεμόνων τους καθώς και η ρητή απαγόρευση της επεξεργασίας γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής στο άρθρο 23.

Παράλληλα, όμως, παρατηρείται μία ευρεία χρήση της δημόσιας ή εθνικής ασφάλειας ως νόμιμος λόγος υπαναχώρησης των απαιτήσεων του Κανονισμού ενώ και κάποια άρθρα, παρουσιάζουν δυσκολίες στην κατανόηση της ρύθμισης, ιδίως σε σχέση με το πνεύμα του Κανονισμού. Για παράδειγμα στο άρθρο 27 που αφορά δεδομένα στο πλαίσιο της απασχόλησης φαίνεται να υπάρχει σύγχυση των σκοπών επεξεργασίας με την νομική βάση συλλογής και επεξεργασίας. Επίσης το άρθρο 28 εισάγει εκτεταμένες εξαιρέσεις από τα δικαιώματα των υποκειμένων υπέρ της ελευθερίας της έκφρασης χωρίς, όμως, να θέτει συγκεκριμένα κριτήρια στους ιδιώτες υπεύθυνους επεξεργασίας. Στο δε άρθρο 31 που αφορά την τήρηση της αρχής της διαφάνειας το κείμενο είναι ιδιαίτερα ασαφές (ειδικά η παράγραφος 4 που αφορά φορείς επαγγελματικού απορρήτου, όπως οι δικηγόροι ή οι λογιστές) δημιουργώντας μάλλον σύγχυση παρά ξεκάθαρη ρύθμιση. Τέλος το άρθρο 25 διαχωρίζει με τρόπο αμφίβολο τους δημόσιους από τους ιδιωτικούς φορείς ενώ στο άρθρο 41 που αφορά την εκπροσώπηση των υποκειμένων δεδομένων από μη κερδοσκοπικούς οργανισμούς, όπως η Ένωση μας, ο νομοθέτης επέλεξε αυτό να επιτρέπεται μόνο μετά από ειδική έγγραφη εντολή και όχι με βάση το γενικό συμφέρον των υποκειμένων, μία ευχέρεια που σαφώς δίνει ο Κανονισμός στο άρθρο 80 παράγραφος 2.

Με ενδιαφέρον αναμένουμε τις απόψεις της ΑΠΔΠΧ για το κατά πόσο ο νόμος κινείται στα επιτρεπτά όρια του Κανονισμού.

Πως  εξελίσσεται η εφαρμογή του νόμου ενσωμάτωσης της Οδηγίας για την ασφάλεια δικτύου και πληροφοριών (NIS);

Η αλήθεια είναι ότι σαν χώρα έχουμε καθυστερήσει αρκετά, αν λάβει κανείς υπόψη ότι φιλοξενούμε και την αρμόδια ευρωπαϊκή αρχή ENISA, φαίνεται όμως ότι αποτελεί πλέον προτεραιότητα η πλήρης εφαρμογή της.

Με την πρόσφατη Υπουργική Απόφαση 1027/8.10.2019 καθορίστηκε η μεθοδολογία προσδιορισμού των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (Φ.Ε.Β.Υ.) καθώς και η μεθοδολογία αξιολόγησης και ελέγχου τους, σύμφωνα με τις προβλέψεις της Οδηγίας. Κάθε κοινοποιημένος Οργανισμός θα οφείλει να ορίσει συγκεκριμένο εργαζόμενο του ως Υπεύθυνο Ασφάλειας Πληροφοριών και Δικτύων του, ενώ τέθηκαν και τα  κριτήρια προσδιορισμού ενός συμβάντος ως σοβαρής διατάραξης για τους φορείς εκμετάλλευσης βασικών υπηρεσιών.

Αναμένουμε λοιπόν την εξειδίκευση των οργανισμών που εμπίπτουν στα κριτήρια Φ.Ε.Β.Υ. και οι οποίοι θα πρέπει να τηρούν τα μέτρα ασφάλειας και κοινοποίησης συμβάντων που προβλέπονται από την Οδηγία. Έχοντας συμβουλέψει στο παρελθόν το αρμόδιο υπουργείο για την ενσωμάτωση της Οδηγίας θεωρώ ότι πρέπει να υπάρχει μελέτη για τις επιπτώσεις στον ανταγωνισμό πριν τον οριστικό κατάλογο των επιχειρήσεων αυτών για να μην γίνει η εφαρμογή της Οδηγίας μοχλός στρέβλωσης της αγοράς.

Όλοι σήμερα μιλάνε για την Τεχνητή Νοημοσύνη. Ποια είναι η δική σας προσέγγιση σχετικά με το πώς επηρεάζονται τα ζητήματα ασφάλειας και προστασίας δεδομένων από τη νέα αυτή τάση;

Οι νέες τεχνολογίες μπορούν να χρησιμοποιούν τεράστιο αριθμό δεδομένων προσωπικού χαρακτήρα από ευρύ φάσμα πηγών, να λαμβάνουν αποφάσεις και να παρέχουν νέες ιδέες. Η ικανότητα της AI να εισβάλλει στην ιδιωτική ζωή και να επηρεάσει την ανθρώπινη συμπεριφορά με το χειρισμό προσωπικών δεδομένων αποτελεί προτεραιότητα για τις εποπτικές αρχές. Κατά την άποψη μου η προοπτική της αποσύνδεσης της μηχανικής συμπεριφοράς από τον προγραμματισμό που έχει εισαγάγει ένας άνθρωπος στην μηχανή κάνει δυσδιάκριτη την σύνδεση αιτίου και αιτιατού και δημιουργεί ένα νέο, ίσως δυστοπικό, περιβάλλον στο θέμα της απόδοσης ευθύνης από τις συνέπειες που δύναται να έχει μία τέτοια μορφή αλληλεπίδρασης μεταξύ μηχανών και ανθρώπων. Με άλλα λόγια ένα από τα δυσχερέστερα προβλήματα που ανακύπτουν (και ένα συνεχές σημείο ανησυχίας) είναι η δυνατότητα των μηχανών να αναπτύξουν τόσο αυτόνομη διαδικασία επιλογών και αποφάσεων ώστε να μην μπορούν να ελεγχθούν αποτελεσματικά από τον άνθρωπο και να μην δύνανται να αποδοθούν ευθέως στην δική του κρίση και επιλογή. Την εικόνα αυτής της πρόβλεψης μάλιστα επιτείνει η τεχνολογική ανάγκη για την ανάπτυξη νέων νευρωνικών δικτύων τα οποία θα είναι ικανά να ανταπεξέλθουν στην διαχείριση και επεξεργασία των δεδομένων που παράγονται και απαιτούνται για τα συστήματα και τις εφαρμογές ΑΙ.

Παράλληλα η επόμενη γενιά προστασίας δεδομένων θα έχει ενσωματωμένη τεχνολογία μηχανικής μάθησης, επιτρέποντας στο λογισμικό να αναγνωρίζει τα ασφαλή πρότυπα στην διαδικτυακή κίνηση και να αποκλείει αυτομάτως αυτά που θα μπορούσαν να αποτελέσουν απειλή, άρα θα προστατεύει καλύτερα τα δεδομένα. Οι ειδικοί αναμένουν επίσης ότι οι δυνατότητες των συστημάτων AI θα διαδραματίσουν σημαντικό ρόλο στο μέλλον των εργαλείων για την ασφάλεια στον κυβερνοχώρο. Η θεωρία είναι ότι με τη σάρωση μεγάλων τμημάτων δεδομένων στο διαδίκτυο, τα συστήματα AI μπορούν να μάθουν πώς προέρχονται οι κυβερνοεπιθέσεις και να προτείνουν λύσεις για τους υπεύθυνους λήψης αποφάσεων στο πλαίσιο του οργανισμού.

Έτσι, καθίσταται εμφανές ότι αντί να προσπαθήσουμε να ελέγξουμε τον αλγόριθμο πίσω από την μηχανή θα πρέπει να επιδιώξουμε την παγίωση μίας βελτιωμένης διαχείρισης και ελέγχου των δεδομένων που θα χρησιμοποιήσει η AI ως βάση για την λειτουργία της. Καθίσταται, δηλαδή, σημαντική η αποτελεσματική διακυβέρνηση των δεδομένων (Data Governance). Παράλληλα όμως για την αποφυγή υπόγειων διαδρομών διακίνησης δεδομένων τα δεδομένα δεν θα πρέπει να αποτελούν έναν απροσπέλαστο  θησαυρό. Η ανάγκη για προστασία από τον σχεδιασμό ή εξ ορισμού (βλ. άρθρο 25 GDPR) των προσωπικών δεδομένων αποτελούν προφανώς μία πολύ καλή πρόταση προστασίας τους αλλά δεν θα πρέπει να εμποδίζει την καινοτομία και την ανάπτυξη υπηρεσιών που θα μπορούσαν να προσφέρουν απίστευτη αξία στους καταναλωτές καθώς και στις επιχειρήσεις. Βασικός στόχος θα πρέπει να είναι η αυξημένη αυτοματοποίηση να μην μεταφράζεται σε λιγότερη προστασία της ιδιωτικής ζωής.