Η Ευρωπαϊκή Επιτροπή προετοιμάζει σαρωτικές αναθεωρήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) που θα μπορούσαν να επαναπροσδιορίσουν τον τρόπο με τον οποίο οι επιχειρήσεις χειρίζονται τα προσωπικά δεδομένα -από την παρακολούθηση μέσω cookies έως την εκπαίδευση μοντέλων τεχνητής νοημοσύνης- σε μια εξέλιξη που, όπως προειδοποιούν οι υπέρμαχοι της ιδιωτικότητας, θα μπορούσε να αποδυναμώσει το πλαίσιο προστασίας της ιδιωτικής ζωής της ΕΕ. Σύμφωνα με ένα προσχέδιο που διέρρευσε και δημοσιοποιήθηκε από το γερμανικό Netzpolitik.org, η επερχόμενη δέσμη «Digital Omnibus» της Επιτροπής θα καταργήσει την απαίτηση για τους ιστότοπους να ζητούν ρητή συγκατάθεση πριν από την τοποθέτηση cookies παρακολούθησης και θα επιτρέπει ρητά την εκπαίδευση μοντέλων τεχνητής νοημοσύνης με χρήση προσωπικών δεδομένων, όταν αυτό δικαιολογείται από τα «έννομα συμφέροντα» των εταιρειών. Η πρόταση αναμένεται να παρουσιαστεί επίσημα στις 19 Νοεμβρίου.
Το προσχέδιο θα εισαγάγει το Άρθρο 88α στον GDPR, το οποίο θα καλύπτει την «επεξεργασία προσωπικών δεδομένων σε και από τερματικό εξοπλισμό», μεταφέροντας ουσιαστικά τη ρύθμιση για τα cookies από την Οδηγία ePrivacy στον ίδιο τον GDPR. Επί του παρόντος, το Άρθρο 5(3) της Οδηγίας ePrivacy απαιτεί από τους ιστότοπους να λαμβάνουν ρητή συγκατάθεση πριν από την αποθήκευση ή την πρόσβαση σε μη ουσιώδη cookies στις συσκευές των χρηστών. Η Επιτροπή υποστήριξε ότι αυτό έχει οδηγήσει σε νομική αβεβαιότητα και «υψηλότερο κόστος συμμόρφωσης» λόγω της αλληλεπικαλυπτόμενης εποπτείας από τις εθνικές αρχές.
Σύμφωνα με την προτεινόμενη αλλαγή, οι ιστότοποι θα μπορούν να επεξεργάζονται δεδομένα που συλλέγονται μέσω cookies βάσει ενός «κλειστού καταλόγου σκοπών χαμηλού κινδύνου» ή βάσει οποιασδήποτε νομικής βάσης του GDPR, συμπεριλαμβανομένου του έννομου συμφέροντος. Αυτό θα σηματοδοτούσε μια σημαντική μετατόπιση από την παρακολούθηση κατόπιν ρητής συγκατάθεσης (opt-in) στην παρακολούθηση με δυνατότητα εξαίρεσης (opt-out). Αντί να ζητούν την άδεια των χρηστών εκ των προτέρων, οι εταιρείες θα μπορούν να τους παρακολουθούν εξ ορισμού, αφήνοντας τη δυνατότητα να εκφράσουν την αντίρρησή τους εκ των υστέρων.
«Ενώ η συγκατάθεση απαιτείται για να διασφαλιστεί ο έλεγχος των υποκειμένων των δεδομένων, δεν αποτελεί πάντοτε την πλέον κατάλληλη νομική βάση για την επακόλουθη επεξεργασία», ανέφερε το προσχέδιο. «Επιπλέον, το διπλό καθεστώς της ePrivacy και του Γενικού Κανονισμού Προστασίας Δεδομένων οδήγησε στο να είναι αρμόδιες διαφορετικές εθνικές αρχές για την εποπτεία των κανόνων των δύο νομικών πλαισίων». Ομάδες προστασίας της ιδιωτικότητας δήλωσαν ότι η Επιτροπή χρησιμοποιεί την «κόπωση από τα cookies» ως πρόσχημα για να υποβαθμίσει τα πρότυπα προστασίας της ιδιωτικότητας.
«Ο GDPR, το πλαίσιο ePrivacy και η Πράξη για την ΤΝ δεν αποτελούν εμπόδια στην καινοτομία — είναι το θεμέλιο του ανθρωποκεντρικού ψηφιακού μοντέλου της Ευρώπης», έγραψε η οργάνωση European Digital Rights (EDRi) σε σχετική ανάρτηση τον Οκτώβριο. «Ωστόσο, υπό το πρόσχημα της συνοχής, η Επιτροπή φαίνεται έτοιμη να αποδυναμώσει τις προστασίες της ePrivacy». Το προσχέδιο περιέγραφε επίσης το Άρθρο 88β, το οποίο θα απαιτεί από τα προγράμματα περιήγησης ή τα λειτουργικά συστήματα να διαβιβάζουν αυτόματα τις προτιμήσεις συγκατάθεσης του χρήστη μόλις καθοριστούν τεχνικά πρότυπα, καταργώντας ενδεχομένως σταδιακά το τρέχον κύμα των ειδοποιήσεων (banners) για cookies.
Υπάρχει, ωστόσο, μια εξαίρεση για τις εταιρείες μέσων ενημέρωσης. Οι ειδησεογραφικοί οργανισμοί θα μπορούν να συνεχίσουν να απαιτούν ρητή συγκατάθεση, κάτι που η Επιτροπή δικαιολόγησε ως προστασία της «οικονομικής βάσης» της δημοσιογραφίας. Η πρόταση αντιμετώπισε άμεσα ένα από τα πιο αμφιλεγόμενα ζητήματα στο δίκαιο της ΕΕ για την προστασία της ιδιωτικότητας: το κατά πόσον οι εταιρείες μπορούν να εκπαιδεύουν συστήματα τεχνητής νοημοσύνης χρησιμοποιώντας προσωπικά δεδομένα.
Το προσχέδιο ανέφερε ότι η εκπαίδευση, η δοκιμή και η επικύρωση της ΤΝ μπορούν να διεξάγονται βάσει του «έννομου συμφέροντος» του GDPR, εφόσον οι εταιρείες εφαρμόζουν διασφαλίσεις όπως η ελαχιστοποίηση των δεδομένων, η διαφάνεια και το άνευ όρων δικαίωμα εναντίωσης. «Η επεξεργασία προσωπικών δεδομένων για την εκπαίδευση ΤΝ μπορεί επομένως να πραγματοποιείται για σκοπούς έννομου συμφέροντος», ανέφερε το προσχέδιο, προσθέτοντας ότι οι προγραμματιστές πρέπει να διασφαλίζουν ότι η εκπαίδευση είναι «επωφελής για το υποκείμενο των δεδομένων και την κοινωνία στο σύνολό της». Η Επιτροπή ανέφερε την ανάγκη εντοπισμού μεροληψίας και διασφάλισης ακριβών εκροών των μοντέλων ως παραδείγματα «επωφελών» σκοπών.
Την ίδια στιγμή, η πρόταση θα περιόριζε τον ορισμό των ευαίσθητων δεδομένων βάσει του Άρθρου 9 του GDPR. Ισχυρότερες προστασίες θα ίσχυαν μόνο όταν οι πληροφορίες αποκαλύπτουν άμεσα χαρακτηριστικά όπως η φυλή, η θρησκεία ή η υγεία, εξαιρώντας δεδομένα που μόνο υπονοούν αυτά τα χαρακτηριστικά μέσω ανάλυσης ή εξαγωγής συμπερασμάτων. «Για τους περισσότερους τύπους προσωπικών δεδομένων που απαριθμούνται στο Άρθρο 9(1), δεν υφίστανται τέτοιοι σημαντικοί κίνδυνοι όταν τα δεδομένα δεν είναι εγγενώς ευαίσθητα», ανέφερε το προσχέδιο. Οι επικριτές προειδοποιούν ότι αυτό θα μπορούσε να επιτρέψει στις εταιρείες να συνάγουν προστατευόμενα χαρακτηριστικά από φαινομενικά ουδέτερα δεδομένα χωρίς να ενεργοποιούνται υψηλότερες νομικές προστασίες.
Το Ευρωπαϊκό Ινστιτούτο Δικαίου αναγνώρισε στα σχόλιά του στις 14 Οκτωβρίου ότι περιορισμένες ενημερώσεις του GDPR ενδέχεται να είναι απαραίτητες, αλλά προειδοποίησε ότι «οι βελτιώσεις δεν πρέπει να γίνουν εις βάρος της προστασίας των θεμελιωδών δικαιωμάτων». Οι προτεινόμενες αλλαγές θα μπορούσαν να μεταβάλουν σημαντικά την εταιρική διακυβέρνηση δεδομένων σε ολόκληρη την Ευρώπη. Οι εταιρείες δεν θα χρειάζονταν πλέον συστήματα διαχείρισης συγκατάθεσης (consent management systems) για τα περισσότερα cookies παρακολούθησης, αλλά θα έπρεπε να διατηρούν λεπτομερή τεκμητοκμηρίωση για να δικαιολογούν την επεξεργασία υπό το «έννομο συμφέρον».
