Πώς αποτυγχάνει ο GDPR μετά από 4 χρόνια επιβολής;

Πώς αποτυγχάνει ο GDPR μετά από 4 χρόνια επιβολής;

Σαν σήμερα πριν τέσσερα χρόνια τέθηκε σε εφαρμογή ο Ευρωπαϊκός Γενικός Κανονισμός για την προστασία δεδομένων προσωπικού χαρακτήρα, γνωστός με το ακρωνύμιο GDPR. Ο παγκόσμια κορυφαίος νόμος για τα δεδομένα άλλαξε τον τρόπο λειτουργίας των εταιρειών, αλλά τέσσερα χρόνια μετά, υπάρχει καθυστέρηση στο ξεκαθάρισμα της Big Tech βιομηχανίας.

Από τότε που τέθηκε σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων, οι ρυθμιστικές αρχές που είναι επιφορτισμένες με την επιβολή του νόμου αγωνίστηκαν να ενεργήσουν γρήγορα σε καταγγελίες κατά εταιρειών Big Tech και της «θολής βιομηχανίας» της διαδικτυακής διαφήμισης, με δεκάδες υποθέσεις να εκκρεμούν ακόμη.

Ενώ ο GDPR έχει βελτιώσει αμέτρητα τα δικαιώματα ιδιωτικότητας εκατομμυρίων πολιτών εντός και εκτός Ευρώπης, δεν έχει εξαλείψει τα χειρότερα προβλήματα: οι μεσίτες δεδομένων («data brokers») εξακολουθούν να αποθηκεύουν τις πληροφορίες μας και να τις πωλούν και ο κλάδος της διαδικτυακής διαφήμισης παραμένει γεμάτος πιθανές καταχρήσεις.

Σήμερα τέσσερα χρόνια μετά, πολλές ομάδες της κοινωνίας των πολιτών έχουν απογοητευτεί με τους περιορισμούς του GDPR, ενώ οι ρυθμιστικές αρχές ορισμένων χωρών διαμαρτύρονται ότι το σύστημα διαχείρισης διεθνών καταγγελιών είναι διογκωμένο και επιβραδύνει την επιβολή, τη στιγμή που η οικονομία της πληροφορίας κινείται με ιλιγγιώδη ταχύτητα.

Για μας τους Έλληνες που δυστυχώς έχουμε συνηθίσει σε μεγάλες καθυστερήσεις σε ό,τι αφορά την απονομή της δικαιοσύνης, δεν είναι κάτι νέο να ακούμε ότι «ο GDPR δεν επιβάλλεται τόσο γρήγορα, όσο νομίζαμε». «Υπάρχει ακόμα αυτό που ονομάζουμε κενό επιβολής και προβλήματα με τη διασυνοριακή επιβολή και επιβολή κατά των μεγάλων παικτών», προσθέτει ο David Martin Ruiz, ανώτερος νομικός υπάλληλος στην Ευρωπαϊκή Οργάνωση Καταναλωτών, ο οποίος υπέβαλε καταγγελία για την παρακολούθηση τοποθεσίας της Google πριν από τέσσερα χρόνια.

Αλλά τα προβλήματα με την επιβολή του δεν σταματούν εδώ! Βάσει της πυκνής σειράς κανόνων που συνθέτουν τον GDPR, οι καταγγελίες κατά μιας εταιρείας που δραστηριοποιείται σε πολλές χώρες της ΕΕ διοχετεύονται συνήθως στη χώρα όπου εδρεύει η κύρια ευρωπαϊκή της έδρα. Αυτή η λεγόμενη διαδικασία μιας στάσης (one-stop-shop) υπαγορεύει ότι η χώρα αυτή ηγείται της έρευνας.

Το αποτέλεσμα είναι ότι πχ. το Λουξεμβούργο χειρίζεται καταγγελίες κατά της Amazon, η Ολλανδία ασχολείται με το Netflix, η Σουηδία έχει το Spotify και η Ιρλανδία είναι υπεύθυνη για το Facebook, το WhatsApp και το Instagram της Meta, καθώς και όλες τις υπηρεσίες της Google, Airbnb, Yahoo, Twitter, Microsoft, Apple και LinkedIn! Μια πληθώρα πρώιμων και περίπλοκων καταγγελιών για τον GDPR έχει οδηγήσει σε καθυστερήσεις στις ρυθμιστικές αρχές, συμπεριλαμβανομένου του ιρλανδικού φορέα, και η διεθνής συνεργασία έχει επιβραδυνθεί λόγω της γραφειοκρατίας. Από το Μάιο του 2018, η ιρλανδική ρυθμιστική αρχή έχει ολοκληρώσει το 65% των υποθέσεων που αφορούν διασυνοριακές αποφάσεις — 400 εκκρεμούν, σύμφωνα με τα στατιστικά στοιχεία της ίδιας της ρυθμιστικής αρχής.

Τα προβλήματα επιβολής στις Big Tech δεν είναι άλυτα! Στις 17 Μαρτίου, το Υπουργείο Ψηφιακής, Πολιτισμού, Μέσων Ενημέρωσης και Αθλητισμού του Ηνωμένου Βασιλείου υπέβαλε στο Κοινοβούλιο το αναθεωρημένο νομοσχέδιο για την ασφάλεια στο Διαδίκτυο.

Είναι μια σαρωτική πρόταση για τη δημιουργία ενός ρυθμιστικού δικτύου γύρω από τις εταιρείες μέσων κοινωνικής δικτύωσης και τις μηχανές αναζήτησης, διατηρώντας παράλληλα το ρόλο τους ως δημόσιες πλατφόρμες για έντονες συζητήσεις για θέματα δημόσιας σημασίας. Στο νομοσχέδιο αυτό μπορούμε να διακρίνουμε δυο σημαντικές πολιτικές προσεγγίσεις.

Μια πρώτη προσέγγιση πολιτικής που θα μπορούσε να μιμηθεί η ΕΕ είναι να εξουσιοδοτηθεί μια ανεξάρτητη υπηρεσία να εφαρμόσει ένα σύστημα ρύθμισης σχεδιασμένο για τα ιδιαίτερα χαρακτηριστικά των εταιρειών κοινωνικών μέσων και των μηχανών αναζήτησης. Το νομοσχέδιο του Ηνωμένου Βασιλείου αντιμετωπίζει σωστά τις εταιρείες μέσων κοινωνικής δικτύωσης ως μοναδικές στο τοπίο των μέσων ενημέρωσης, σχεδιάζει τις ρυθμιστικές απαιτήσεις του ώστε να ταιριάζουν με αυτά τα ειδικά χαρακτηριστικά και αναθέτει τον ρόλο υλοποίησης και επιβολής στο Office of Communications (Ofcom), την παραδοσιακή ρυθμιστική αρχή μέσων του Ηνωμένου Βασιλείου.

Ένα δεύτερο μάθημα είναι ότι αυτή η ρυθμιστική δομή θα πρέπει να επικεντρώνεται σε συστήματα και διαδικασίες που χρησιμοποιούν οι εταιρείες μέσων κοινωνικής δικτύωσης για να παραγγέλνουν περιεχόμενο στα συστήματά τους και να λαμβάνουν μέτρα κατά περιεχομένου που παραβιάζει τους όρους παροχής υπηρεσιών τους.

Το νομοσχέδιο του Ηνωμένου Βασιλείου το κάνει αυτό επιβάλλοντας την αποκάλυψη κανόνων περιεχομένου, τις προστασίες της δέουσας διαδικασίας, τις αναφορές διαφάνειας, τις εκτιμήσεις κινδύνου και τα μέτρα μετριασμού για επιβλαβές περιεχόμενο. Αυτή η προσέγγιση συστημάτων είναι ένας πολλά υποσχόμενος τρόπος για να μειωθεί το επιβλαβές αλλά νόμιμο διαδικτυακό υλικό διατηρώντας παράλληλα την ελεύθερη έκφραση.

Κυρίως, το νομοσχέδιο καταδεικνύει ότι η παροχή στις κυβερνητικές υπηρεσίες της εξουσίας να διατάζουν τις εταιρείες μέσων κοινωνικής δικτύωσης να αφαιρούν ή να υποβαθμίζουν επιβλαβές αλλά νόμιμο υλικό δεν είναι απαραίτητο χαρακτηριστικό μιας ρυθμιστικής δομής που στοχεύει στη βελτίωση της εποπτείας περιεχομένου.

Σε άλλο επίπεδο, παρά το γεγονός ότι επαινείται ως ένα από τα μεγαλύτερα επιτεύγματα της ΕΕ, πολλά ενδιαφερόμενα μέρη εξέφρασαν σκεπτικισμό σχετικά με την εφαρμογή του. Μεταξύ των επιχειρήσεων, υπήρξε αρχικά σύγχυση σχετικά με τη συμμόρφωση, δεδομένου του αυξημένου φόβου για το σχετικό κόστος. Μέχρι και σήμερα, εξακολουθούν να υπάρχουν ανησυχίες για τις αρνητικές συνέπειες του νόμου στην ανάπτυξη και την καινοτομία των επιχειρήσεων.

Παρά τα ξεκάθαρα προβλήματα επιβολής, ο GDPR έχει μια ανυπολόγιστη επίδραση στις πρακτικές δεδομένων γενικά και αποτελεί σημείο αναφοράς για νομοθέτες σε όλο τον κόσμο. Οι χώρες της ΕΕ έχουν λάβει αποφάσεις σε χιλιάδες τοπικές περιπτώσεις και έχουν εκδώσει οδηγίες ή πρόστιμα σε οργανισμούς για να πουν πώς πρέπει να χρησιμοποιούν τα δεδομένα των πολιτών.

Στο ισπανικό πρωτάθλημα ποδοσφαίρου LaLiga επιβλήθηκε πρόστιμο αφού η ηλεκτρονική εφαρμογή του κατασκόπευε χρήστες, στην εταιρεία λιανικής H&M επιβλήθηκε πρόστιμο στη Γερμανία αφού δεν προστάτευε λεπτομέρειες σχετικά με την προσωπική ζωή των εργαζομένων της, στη φορολογική αρχή της Ολλανδίας επιβλήθηκε πρόστιμο για τη χρήση μιας «μαύρης λίστας» και αυτά είναι απλώς λίγα δείγματα από χιλιάδες επιτυχημένες περιπτώσεις.

Ο αριθμός των προστίμων έχει αυξηθεί καθώς η νομοθεσία έχει ωριμάσει, φτάνοντας συνολικά τα 1,6 δισεκατομμύρια ευρώ. Ενδεικτικά το Λουξεμβούργο επέβαλε πρόστιμο στην Amazon 746 εκατομμύρια ευρώ και η Ιρλανδία επέβαλε πρόστιμο στο WhatsApp 225 εκατομμύρια ευρώ πέρυσι (και οι δύο εταιρείες έχουν προσβάλλει τις αποφάσεις).

Επίσης, αρκετοί αντίκτυποι της εφαρμογής του GDPR δεν είναι ιδιαίτερα ορατοί - ο νόμος δεν αφορά μόνο σε πρόστιμα και σε εντολές σε εταιρείες να αλλάξουν - έχει βελτιώσει τις εταιρικές συμπεριφορές και αποτελεί εγγύηση για τα δικαιώματα ιδιωτικότητας.

«Αν συγκρίνετε την ευαισθητοποίηση σχετικά με την ασφάλεια στον κυβερνοχώρο, την προστασία δεδομένων, την ιδιωτικότητα, όπως φαινόταν πριν από δέκα χρόνια και όπως φαίνεται σήμερα, αυτοί είναι εντελώς διαφορετικοί κόσμοι», λέει ο Wojciech Wiewiórowski, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, ο οποίος επιβλέπει υποθέσεις κατά του GDPR σε ευρωπαϊκά θεσμικά όργανα, όπως η Europol.

Όμοια, μια πρόσφατη μελέτη εκτίμησε ότι ο αριθμός των εφαρμογών Android στο Play store της Google έχει μειωθεί κατά ένα τρίτο μετά από την εισαγωγή του GDPR, επικαλούμενη καλύτερη προστασία απορρήτου και όλο και περισσότερες επιχειρήσεις έχουν διαθέσει σημαντικά ποσά για τη συμμόρφωση τους με την προστασία δεδομένων.

Τον τελευταίο χρόνο, υπήρξαν αυξανόμενες εκκλήσεις για αλλαγή του τρόπου λειτουργίας και επιβολής του GDPR. «Η επιβολή θα πρέπει να είναι πιο συγκεντρωτική για μεγάλες υποθέσεις», είπε η Viviane Redding, η πολιτικός που πρότεινε τον GDPR το 2012. Οι εκκλήσεις ήρθαν καθώς η Ευρώπη πέρασε τα επόμενα δύο μεγάλα κομμάτια της ψηφιακής νομοθεσίας: το νόμο για τις ψηφιακές υπηρεσίες και το νόμο για τις ψηφιακές αγορές.

Οι νόμοι, που επικεντρώνονται στον ανταγωνισμό και την ασφάλεια στο διαδίκτυο, χειρίζονται την επιβολή διαφορετικά από τον GDPR. Σε ορισμένες περιπτώσεις, η Ευρωπαϊκή Επιτροπή θα διερευνήσει τις μεγάλες εταιρείες τεχνολογίας. Η κίνηση είναι ένα νεύμα στο γεγονός ότι η επιβολή του GDPR μπορεί να μην ήταν τόσο ομαλή όσο θα ήθελαν οι ευρωπαίοι πολιτικοί.

Χωρίς κάποιες αλλαγές -και ισχυρή επιβολή- οι ομάδες της κοινωνίας των πολιτών προειδοποιούν ότι ο GDPR θα μπορούσε να αποτύχει να σταματήσει τις χειρότερες πρακτικές των εταιρειών Big Tech και να βελτιώσει την αίσθηση της ιδιωτικότητας των πολιτών. «Εάν δεν μπορούμε να αντιμετωπίσουμε τη μεγάλη τεχνολογία, θα δημιουργήσουμε μια μονιμότητα στη μοιρολατρία που νιώθουν οι άνθρωποι για την ιδιωτικότητα και τα δεδομένα» λέει ο Johnny Ryan, ανώτερος συνεργάτης στο Irish Council for Civil Liberties.

Ο GDPR βρίσκεται ακόμη στην αρχική του φάση, αλλά πολλές χώρες θα συνεχίσουν να παρακολουθούν την πρόοδό του καθώς εξετάζουν πώς να δημιουργήσουν και να εφαρμόσουν αποτελεσματικά τους δικούς τους νόμους για την προστασία δεδομένων. Η Αυστραλία, η Ιαπωνία, η Νότια Κορέα, η Βραζιλία και η Κίνα έχουν ήδη διαμορφώσει τη νομοθεσία περί απορρήτου τους με βάση τον GDPR, αν και με τροποποιήσεις που αφορούν το συγκεκριμένο πλαίσιο.

Η επιβολή του GDPR βελτιώνει σταδιακά τις πρακτικές ασφάλειας των εταιρειών και προστατεύει την ιδιωτικότητα των πολιτών, αλλά οι ρυθμιστικές αρχές αγωνίζονται επίσης με την περιφερειακή συνέπεια και την αντιστοίχιση των πόρων τους στον αυξανόμενο αριθμό αιτημάτων. Πιθανότατα θα χρειαστούν αρκετά χρόνια προτού υπάρξει εναρμόνιση και μια τυπική βασική γραμμή στην ΕΕ.

Αλλά και η εναρμόνισή του σε όλη την Ευρώπη παρουσιάζει προβλήματα. Τον περασμένο μήνα Σήμερα η Ευρωπαϊκή Επιτροπή αποφάσισε να αποστείλει προειδοποιητική επιστολή στη Γερμανία [INFR(2022)2019], στην Ελλάδα [INFR(2022)2021] στη Φινλανδία [INFR(2022)4010] και στη Σουηδία [INFR(2022)2022], επειδή δεν εκπληρώνουν τις υποχρεώσεις που υπέχουν δυνάμει του γενικού κανονισμού για την προστασία δεδομένων (ΓΚΠΔ) [κανονισμός (ΕΕ) 2016/679] και της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου [οδηγία (ΕΕ) 2016/680].

Η Γερμανία δεν έχει ακόμη κοινοποιήσει μέτρα μεταφοράς της οδηγίας στο εθνικό δίκαιο όσον αφορά τις δραστηριότητες της ομοσπονδιακής αστυνομίας. Η Ελλάδα δεν έχει μεταφέρει ορθά στο εθνικό δίκαιο τις διατάξεις που αφορούν, μεταξύ άλλων, το πεδίο εφαρμογής της οδηγίας για την επιβολή του νόμου και τις προθεσμίες για την αποθήκευση των δεδομένων.

Η Φινλανδία και η Σουηδία δεν έχουν εκπληρώσει τις υποχρεώσεις τους όσον αφορά το δικαίωμα πραγματικής δικαστικής προσφυγής για τα υποκείμενα των δεδομένων σε ορισμένες περιπτώσεις. Τα οικεία κράτη μέλη έχουν πλέον προθεσμία δύο μηνών για να απαντήσουν και να λάβουν τα αναγκαία μέτρα προκειμένου να άρουν την παραβίαση του δικαίου της ΕΕ που διαπίστωσε η Επιτροπή. Διαφορετικά, η Επιτροπή μπορεί να αποφασίσει να αποστείλει αιτιολογημένη γνώμη.

Από τεχνικής και κανονιστικής άποψης, οι βασικές προκλήσεις εφαρμογής του GDPR στις επιχειρήσεις που εξακολουθούμε να βλέπουμε 4 χρόνια μετά είναι συνοπτικά:

Συνεχής αύξηση της αξίας του Αρχείου Δραστηριότητας Επεξεργασίας (RoPA).

Αυξημένη πίεση των αιτημάτων για δικαιώματα υποκειμένου δεδομένων.

Σωστή λήψη συγκατάθεσης

Εφαρμογή χρόνου τήρησης δεδομένων προσωπικού χαρακτήρα.

Το διαρκώς μεταβαλλόμενο ρυθμιστικό τοπίο.

Η εξαντλημένη δεξαμενή των πιστοποιημένων Επαγγελματιών Ιδιωτικότητας.

Κουλτούρα Προστασίας Δεδομένων.

Αύξηση ομαδικών αγωγών για την προστασία δεδομένων.

Για άλλη μια χρονιά «Χρόνια πολλά GDPR»! Η μάχη για τα δικαιώματα ιδιωτικότητας μόλις έχει ξεκινήσει και ο GDPR παραμένει το ισχυρό μας όπλο μαζί με άλλα που έρχονται (πχ. ευρωπαϊκή νομοθεσία για την τεχνητή νοημοσύνη). Καιρός να αναδειχθεί και η δική μας ευθύνη στην επιβολή τελικά της νομοθεσίας που κατοχυρώνει με θαυμαστά απλό τρόπο τα ατομικά μας δικαιώματα στην ιδιωτικότητα! #IOwnMyHealthData

Ο συγγραφέας δηλώνει ότι δεν υπάρχει σύγκρουση συμφερόντων. Ο συγγραφέας δεν έλαβε οικονομική υποστήριξη για την έρευνα, τη συγγραφή ή/και τη δημοσίευση αυτού του άρθρου.

*Ο Γιάννης Σ. Καλαντζάκης είναι entrepreneur υπηρεσιών υγείας, πιστοποιημένος Υπεύθυνος Προστασίας Δεδομένων (DPOaaS) & σύμβουλος επιχειρήσεων σε θέματα διαχείρισης δεδομένων προσωπικού χαρακτήρα (GDPR), ιατρικού τουρισμού και ποιότητας. #IOwnMyHealthData