Clearview: Γιατί μας αφορά το σκάνδαλο των “μεταδεδομένων” και της χρήσης τους από κρατικές υπηρεσίες;- Τι συμβαίνει στην Ελλάδα
Υπόθεση Clearview: η απόφαση της Αρχής Προστασίας Δεδομένων και τα ερωτήματα- Τα πραγματικά περιστατικά, οι πτυχές της υπόθεσης και η σημασία της απόφασης
του ΔΗΜΗΤΡΙΟΥ Π.ΦΑΚΑ
Η Clearview AI είναι μια εταιρεία που εδρεύει στη Ν. Υόρκη. Η επιχειρηματική της πρακτική συνίσταται στη συλλογή φωτογραφιών προσώπων από δημόσια διαθέσιμες πηγές του Διαδικτύου (ιστοσελίδες, μέσα κοινωνικής δικτύωσης, ιστολόγια κ.α.), χωρίς κάποιο γεωγραφικό ή άλλο περιορισμό. Δυνητικά αφορά οποιαδήποτε φωτογραφία καταχωρείται δημόσια στο Διαδίκτυο.
Η εταιρεία επεξεργάζεται τις φωτογραφίες με ειδικές τεχνικές, «μετατρέποντας» κάθε ανθρώπινο πρόσωπο σε μια ξεχωριστή αλληλουχία αριθμών. Με τον τρόπο αυτό ένα πρόσωπο μπορεί να αναγνωριστεί μέσω σύγκρισης της αποθηκευμένης αλληλουχίας και μιας νέας αλληλουχίας, η οποία προκύπτει από την επεξεργασία νέων φωτογραφιών που υποβάλλουν οι ενδιαφερόμενοι πελάτες της εταιρείας.
Εκτός των προσώπων, η εταιρεία συλλέγει και τα μεταδεδομένα των φωτογραφιών, όπως τη γεωγραφική θέση λήψης, τη διεύθυνση (url) στην οποία εντοπίστηκε, την ημερομηνία λήψης κλπ. .
Σύμφωνα με όσα έχουν γίνει γνωστά, μεταξύ των πελατών της Clearview ΑΙ είναι αστυνομικές αρχές και ιδιωτικές επιχειρήσεις, ενώ η ίδια δηλώνει ότι δραστηριοποιείται σε δεκάδες χώρες του κόσμου, συμπεριλαμβανομένης της Ελλάδας και άλλων χωρών της Ε.Ε. .
Η καταγγελία
Το Μάιο του 2021 η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής η Αρχή) επελήφθη καταγγελίας που υπέβαλλε η Αστική μη Κερδοσκοπική Εταιρεία με την επωνυμία «Ηomo Digitalis» για λογαριασμό ενός φυσικού προσώπου. Η καταγγελία στηριζόταν στο γεγονός ότι η εταιρεία Clearview AI δεν απάντησε σε αίτημα άσκησης δικαιωμάτων που απορρέουν από το Γενικό Κανονισμό Προστασίας Δεδομένων (εφεξής ΓΚΠΔ) που υποβλήθηκε προς αυτή από την καταγγέλλουσα.
Η απόφαση της Αρχής
Η Αρχή επέβαλλε στην Clearview AI το μεγαλύτερο πρόστιμο από συστάσεώς της (20.000.000 ευρώ), ενώ παράλληλα της επέβαλε απαγόρευση επεξεργασίας και έδωσε εντολή διαγραφής των δεδομένων προσωπικού χαρακτήρα υποκειμένων ευρισκομένων στην ελληνική επικράτεια. Ανάλογες αποφάσεις έλαβαν το Μάρτιο του 2022 η GPDP (η Ιταλική Αρχή Προστασίας) και το Μάιο του 2022 ο ICO (η Αρχή Προστασίας του Ηνωμένου Βασιλείου) επιβάλλοντας αντίστοιχα υψηλά πρόστιμα στην Clearview.
Η σημασία της απόφασης
Η απόφαση της Αρχής παρουσιάζει υψηλό ενδιαφέρον, όχι μόνο σε επίπεδο κυρώσεων, αλλά και αναφορικά με το σκεπτικό της.
- Η Αρχή επέβαλλε τα παραπάνω σε μια εταιρεία η οποία έχει την έδρα της στις ΗΠΑ, χρησιμοποιώντας ένα εργαλείο που παρέχει ο ΓΚΠΔ: το «κριτήριο στόχευσης». Δηλαδή, όταν μια επεξεργασία προσωπικών δεδομένων (και εν προκειμένω η συλλογή φωτογραφιών προσώπων από το διαδίκτυο, η εξαγωγή βιομετρικών στοιχείων και η διάθεσή τους), στοχεύει πρόσωπα που βρίσκονται στο έδαφος της Ε.Ε., τότε εφαρμόζεται ο ΓΚΠΔ και οι προστατευτικές του διατάξεις.
Ο ευρωπαίος νομοθέτης, λαμβάνοντας υπόψη τις παγκόσμιες διαστάσεις που λαμβάνει η επεξεργασία προσωπικών δεδομένων μέσω της χρήσης του Διαδικτύου και τους κινδύνους που προκύπτουν αυτή, αποφάσισε ότι όσα πρόσωπα βρίσκονται στην επικράτεια της Ε.Ε. (και όχι μόνο οι ευρωπαίοι πολίτες), πρέπει να προστατεύονται αποτελεσματικά.
- Η Αρχή επίσης έκρινε ότι λόγω των χαρακτηριστικών της υπόθεσης, είχε αυτοτελή αρμοδιότητα να ελέγξει τη συγκεκριμένη δραστηριότητα, χωρίς να πρέπει να χρησιμοποιήσει το συχνά δυσκίνητο μηχανισμό συνεργασίας με άλλες εποπτικές Αρχές. Συνεπώς, κάθε πρόσωπο που βρίσκεται στην Ε.Ε. μπορεί να προσφύγει κατά των πρακτικών της εν λόγω εταιρείας απευθυνόμενο στην αντίστοιχη Αρχή του τόπου συνήθους διαμονής του.
- Η Αρχή αναγνώρισε ότι η δραστηριότητα της Clearview AI, συνιστά κατάρτιση προφίλ και παρακολούθηση δραστηριότητας στο διαδίκτυο. Το στοιχείο αυτό ελήφθη ιδιαιτέρως υπόψη σε σχέση με την ένταση των επιβληθέντων κυρώσεων. Και βεβαίως έδωσε το ανάλογο μήνυμα σε όσους τυχόν διατηρούν παρόμοιες δραστηριότητες υπό τις ίδιες (ανύπαρκτες) προϋποθέσεις.
Η συγκεκριμένη απόφαση της Αρχής, υπενθύμισε σε όλους μας ότι η δημοσιοποίηση μιας προσωπικής πληροφορίας, δεν καθιστά νόμιμη τη συλλογή και περαιτέρω χρήση της. Σε νομικό επίπεδο, η δημοσιοποίηση μιας πληροφορίας δεν υποδηλώνει παραίτηση από δικαιώματα που συνδέονται με αυτή.
Η δυνατότητα δε αναγνώρισης φυσικών προσώπων μέσω του προσώπου τους, συνιστά μια διαρκή και ιδιαίτερη απειλή, ιδίως αν λάβει υπό κανείς τα εξής: το βαθμό διάχυσης φωτογραφιών στο Διαδίκτυο, τις εκτεταμένες δυνατότητες συλλογής από άλλες πηγές (πχ συστήματα βιντεοεπιτήρησης) και την αδυναμία αλλοίωσης του ανθρώπινου προσώπου ώστε να μην μπορεί να αναγνωριστεί. Τα βιομετρικά δεδομένα, συνδέονται με την ανθρώπινη φυσιολογία, μας ταυτοποιούν με μοναδικό τρόπο και γι’ αυτό προστατεύονται αυστηρότερα.
Η αναγνώριση ενός προσώπου μέσω της εικόνας, μπορεί να οδηγήσει στον ψηφιακό εντοπισμό του (πχ σε μέσα κοινωνικής δικτύωσης) και στη σύνδεσή του με στενά προσδιορισμένες προτιμήσεις και συνήθειες. Ενώνοντας τις τελείες των διαδικτυακά δημοσιευμένων φωτογραφιών ενός προσώπου (και των μεταδεδομένων αυτών), σχηματίζεται το μοτίβο ζωής του (πιθανόν και της μελλοντικής του συμπεριφοράς), καθιστώντας το ευάλωτο σε κάθε είδους χειραγώγηση, έλεγχο ή απειλή.
Οι εξελίξεις γύρω από την υπόθεση Clearview, εγείρουν πολλά ερωτήματα. Κάποια από αυτά αφορούν το κατά πόσο η Clearview ΑΙ λειτουργεί περισσότερο ως «διαμεσολαβητής» τρίτων παρά για δικό της λογαριασμό. Με άλλα λόγια: θα μπορούσε η δραστηριότητα της Clearview να διεξαχθεί νομίμως από κρατικές υπηρεσίες ασφαλείας ; Θα ήταν επιτρεπτό δηλαδή κρατικές αρχές να εξάγουν μαζικά βιομετρικά δεδομένα από κάθε δημόσια αναρτημένη φωτογραφία παρακολουθώντας διαρκώς τη ζωή πολιτών, χωρίς να παραβιάζουν το υφιστάμενο νομικό πλαίσιο; Αν όχι, μήπως τελικά η Clearview είναι (μεταξύ πολλών άλλων και) το όχημα εξυπηρέτησής τους;
Η ανεξήγητη μέχρι τώρα αδράνεια στη λήψη αποτελεσματικών μέτρων άμεσου τερματισμού της συγκεκριμένης δραστηριότητας και η έλλειψη συνεργασίας σε διεθνές επίπεδο, αφήνει περιθώριο για πολλές ερμηνείες.
Το βέβαιο είναι ότι η απώλεια του ελέγχου των δημοσιοποιούμενων πληροφοριών στο Διαδίκτυο, που συμβαίνει ήδη με τον τρόπο λειτουργίας των μέσων κοινωνικής δικτύωσης, τείνει να καταστεί μια αφόρητη πραγματικότητα.
Ο Δημήτριος Π. Φάκας είναι Δικηγόρος, με ειδίκευση στο δίκαιο προστασίας προσωπικών δεδομένων και ιδιωτικότητας.