Νομικό Περιοδικό Αρ. 73 – Ιούλιος 2024.  

Υπηρεσίες cloud: με ποια κριτήρια επιλέγεται η κάθε μία;

Από την πανδημία Covid, η χρήση υπηρεσιών cloud έχει αυξηθεί τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα.

Παρόλο που το ευρωπαϊκό πλαίσιο σε αυτόν τον τομέα γίνεται όλο και πιο σαφές, πολλές αβεβαιότητες παραμένουν σήμερα.

• Θα πρέπει να επιλέξουμε ένα γαλλικό, ευρωπαϊκό cloud που να πληροί τις απαιτήσεις ενός κυρίαρχου cloud;
• Ποιοι είναι οι κίνδυνοι από την ανάθεση της διαχείρισης των δεδομένων κάποιου στις εταιρείες GAFAM;

Ενώ δεν υπάρχει νομικός ορισμός του κυρίαρχου cloud, θεωρείται γενικά ότι πρέπει να διασφαλίζει την κυριαρχία σε τρία θεμελιώδη επίπεδα:

• Τα δεδομένα,
• Οι επεμβάσεις,
• Οι υποδομές.

Συνεπώς, το cloud πρέπει να παρουσιάζει υψηλό επίπεδο απαιτήσεων όσον αφορά την ψηφιακή ασφάλεια και την προστασία των δεδομένων, από τεχνική, επιχειρησιακή και νομική άποψη, και πιο συγκεκριμένα να αποτελεί αποκλειστική αρμοδιότητα στην εθνική επικράτεια.

Επομένως, να είστε επιφυλακτικοί με τους ισχυρισμούς περί «κυρίαρχου ευρωπαϊκού cloud» που κάνουν μη ευρωπαϊκές εταιρείες.

Η Γαλλία ξεχωρίζει εντός της Ευρωπαϊκής Ένωσης λόγω των ιδιαίτερα αυστηρών απαιτήσεών της. ειδικά μετά την εφαρμογή του πλαισίου SecNumCloud και την υιοθέτηση στις 21 Μαΐου του νόμου SREN που αποσκοπούσε στην ασφάλεια και τη ρύθμιση του ψηφιακού χώρου.

Αυτός ο νόμος απαιτεί από τις κρατικές διοικήσεις και τους φορείς εκμετάλλευσης που χρησιμοποιούν υπηρεσία cloud που παρέχεται από ιδιωτικό πάροχο να εφαρμόζουν συγκεκριμένα κριτήρια ασφάλειας και προστασίας για τη λειτουργία συστημάτων υπολογιστών που επεξεργάζονται δεδομένα ιδιαίτερης ευαισθησίας.

Στόχος είναι η αποτροπή οποιασδήποτε μη εξουσιοδοτημένης πρόσβασης σε δεδομένα από δημόσιες αρχές τρίτων κρατών.

Αυτό είναι ιδιαίτερα σημαντικό δεδομένου του νόμου Cloud Act, ο οποίος εξουσιοδοτεί τις υπηρεσίες ασφαλείας των ΗΠΑ να έχουν πρόσβαση σε δεδομένα που κατέχονται από εταιρείες που βρίσκονται εκτός της επικράτειάς τους χωρίς προηγούμενη άδεια.

Αυτές οι υποχρεώσεις συνάδουν με το πνεύμα του δόγματος «το σύννεφο στο κέντρο» που έχει αναπτύξει το γαλλικό κράτος για τις διοικήσεις του.

Παρόλο που δεν είναι υποχρεωτικά για τον ιδιωτικό τομέα, παραμένουν χρήσιμα ως συστάσεις, ιδίως όταν πρόκειται για επεξεργασία ευαίσθητων δεδομένων, για παράδειγμα στον τομέα της υγείας ή της έρευνας.

Τι γίνεται με την ανάπτυξη υπηρεσιών cloud σε άλλες περιοχές της Ευρώπης;

Υπάρχουν πολλές ποιοτικές υπηρεσίες διαθέσιμες, για παράδειγμα στη Γερμανία και την Ελβετία.

Ωστόσο, φαίνεται ότι η έννοια του κυρίαρχου cloud συχνά ερμηνεύεται ευρύτερα από ό,τι στο γαλλικό πλαίσιο: το γερμανικό μοντέλο ορίζει ως κυρίαρχο οποιοδήποτε cloud που βρίσκεται στην επικράτεια της ΕΕ και διατίθεται στην αγορά από μια ευρωπαϊκή εταιρεία, με υπαλλήλους που είναι πολίτες της ΕΕ και συγκεκριμένες απαιτήσεις ασφαλείας όσον αφορά την πρόσβαση σε δεδομένα, ακόμη και αν η υπηρεσία cloud προσφέρεται στην πράξη από θυγατρική μιας αμερικανικής εταιρείας, για παράδειγμα.

Αυτή είναι η κατεύθυνση που ακολουθεί επί του παρόντος το έργο Πιστοποίησης Υπηρεσιών Cloud της Ευρωπαϊκής Ένωσης (EUCS).

Στην τελευταία του έκδοση που χρονολογείται από τον Μάρτιο, αυτό το έργο «δεν επιτρέπει πλέον στους παρόχους να αποδεικνύουν ότι προστατεύουν τα αποθηκευμένα δεδομένα από οποιαδήποτε πρόσβαση από ξένη δύναμη, σε αντίθεση με την πιστοποίηση SecNumCloud στη Γαλλία».

Με αυτούς τους όρους προειδοποιεί η CNIL τη νέα Ευρωπαϊκή Επιτροπή με επικεφαλής την Ursula Von Der Leyen, η οποία συμμετέχει στη διαδικασία λήψης αποφάσεων σχετικά με την EUCS.

Μεταξύ των λόγων που προβάλλονται για να δικαιολογήσουν την άρση των απαιτήσεων κυριαρχίας από το έργο είναι οι πιθανές κατηγορίες για προστατευτισμό από τις Ηνωμένες Πολιτείες ή την Κίνα.

Η CNIL, από την πλευρά της, εκφράζει τη λύπη της, εκτός από τους κινδύνους παραβίασης προσωπικών δεδομένων, για τον αντίκτυπο αυτής της προς τα κάτω αναθεώρησης των ευρωπαϊκών απαιτήσεων στην τόνωση της ευρωπαϊκής προσφοράς cloud.

Δεδομένης της τρέχουσας αβεβαιότητας στο ευρωπαϊκό μέτωπο, το πλαίσιο SecNumCloud αποτελεί χρήσιμη αναφορά, ιδιαίτερα για την επεξεργασία ευαίσθητων ή στρατηγικών δεδομένων. 

Ο ιστότοπος της ANSSI δημοσιεύει τη λίστα με τις υπηρεσίες cloud που πληρούν τις προϋποθέσεις ως "SecNumCloud": περιέχει, όπως ενημερώθηκε στις 17 Ιουλίου, μια λίστα με 14 υπηρεσίες cloud που πληρούν τις προϋποθέσεις πιστοποίησης και οκτώ άλλες που βρίσκονται σε διαδικασία πιστοποίησης.

Ανεξάρτητα από το πλαίσιο SecNumCloud, άλλες ευρωπαϊκές υπηρεσίες cloud παραμένουν ελκυστικές σε σύγκριση με τους διεθνείς ανταγωνιστές τους, δεδομένου του τρέχοντος νομικού πλαισίου.

Ενώ το επίπεδο προστασίας δεδομένων στις Ηνωμένες Πολιτείες θεωρείται επί του παρόντος επαρκές, αξίζει να υπενθυμίσουμε ότι οι δύο πρώτες συμφωνίες ΕΕ-ΕΕ ακυρώθηκαν από το Ευρωπαϊκό Δικαστήριο και ότι ο Max Schrems, ο οποίος ξεκίνησε τις δύο πρώτες αγωγές, σκοπεύει να υποβάλει το «πλαίσιο προστασίας δεδομένων» στην ίδια μοίρα.

 

         

Στα συμπεράσματά του της 11ης Ιουλίου, ο Γενικός Εισαγγελέας του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) αποφάνθηκε σχετικά με την ανάγκη επεξεργασίας δεδομένων που σχετίζονται με το φύλο («κ. ή κα.») για την παροχή της σιδηροδρομικής υπηρεσίας της SNCF.

Δεδομένου ότι η συλλογή αυτών των δεδομένων είναι υποχρεωτική στα έντυπα της SNCF, το Συμβούλιο της Επικρατείας, το οποίο κατασχέθηκε από τον σύνδεσμο Mousse, είχε ζητήσει από το ΔΕΕ να διευκρινίσει εάν η συλλογή αυτή θα μπορούσε να βασιστεί στο άρθρο 6.1.α (συγκατάθεση) ή στο άρθρο 6.1.β (απαραίτητη για την εκτέλεση σύμβασης) του ΓΚΠΔ.

Σύμφωνα με τη Γενική Συνέλευση, η εν λόγω μεταχείριση δεν είναι απαραίτητη για την παροχή της υπηρεσίας, καθώς στην προκειμένη περίπτωση δεν τίθεται ζήτημα ξεχωριστών βαγονιών για άνδρες ή γυναίκες, και η SNCF έχει αναγνωρίσει ότι δεν χρησιμοποιεί συστηματικά αυτές τις πληροφορίες στην επικοινωνία της με τους πελάτες της.

Ο Γενικός Εισαγγελέας υπενθυμίζει ιδίως την εφαρμογή της αρχής της ελαχιστοποίησης και αναφέρει την απόφαση «Bundeskartellamt», στην οποία το Δικαστήριο δήλωσε ότι «για να θεωρηθεί η επεξεργασία δεδομένων προσωπικού χαρακτήρα απαραίτητη για την εκτέλεση μιας σύμβασης, (...) πρέπει να είναι αντικειμενικά απαραίτητη για έναν σκοπό που αποτελεί αναπόσπαστο μέρος της συμβατικής υποχρέωσης στην οποία υπόκειται το υποκείμενο των δεδομένων».

Ο υπεύθυνος επεξεργασίας δεδομένων πρέπει επομένως να είναι σε θέση να αποδείξει πώς ο κύριος σκοπός της σύμβασης δεν μπορεί να επιτευχθεί εάν δεν πραγματοποιηθεί η εν λόγω επεξεργασία.

Η Γενική Συνέλευση καταλήγει στο συμπέρασμα ότι το φύλο του χρήστη δεν είναι απαραίτητο στη συγκεκριμένη περίπτωση.

Η Ομοσπονδία Αξιόπιστων Τρίτων Μερών στον ψηφιακό τομέα δημοσίευσε έναν «Οδηγό ορθών πρακτικών για ψηφιακά ταξίδια και συναίνεση».

Στο κανονιστικό πλαίσιο των ψηφιακών υπογραφών, ο στόχος είναι «να διασφαλιστεί ότι η συγκέντρωση όλων των στοιχείων σε μια εκτεταμένη αλυσίδα εμπιστοσύνης σε όλη τη διαδικασία παρέχει τα απαραίτητα στοιχεία για να αποδειχθεί η συνέπεια και η αξιοπιστία της διαδικασίας εκ των υστέρων».

Στις 21 Ιουνίου, το Συμβούλιο της Επικρατείας ακύρωσε εν μέρει ένα διάταγμα του 2021 σχετικά με τη χρήση drones από τις αρχές επιβολής του νόμου..

Το Συμβούλιο της Επικρατείας έκρινε ότι ορισμένες διατάξεις αυτού του διατάγματος παραβίαζαν δυσανάλογα το δικαίωμα σεβασμού της ιδιωτικής ζωής και την ελευθερία του συνέρχεσθαι.

Η χρήση drones για τη βιντεοσκόπηση διαδηλώσεων μπορεί να εγκριθεί μόνο εάν είναι πιθανό να προκληθούν διαταραχές της δημόσιας τάξης και εάν οι καταγεγραμμένες εικόνες είναι απολύτως απαραίτητες για την πρόληψη τέτοιων διαταραχών ή τη δίωξη των υπευθύνων.

Επιπλέον, τα άτομα που βιντεοσκοπούνται πρέπει να ενημερώνονται επαρκώς σχετικά με τη χρήση drones και τα δικαιώματά τους για την προστασία των δεδομένων (μέσω του AFCDP).

Το Συμβούλιο της Επικρατείας επιβεβαίωσε το δικαίωμα των δοτών γαμετών να αντιταχθούν, βάσει του άρθρου 21 του ΓΚΠΔ, στη μεταφορά των προσωπικών τους δεδομένων από τον οργανισμό στον οποίο έκαναν τη δωρεά τους σε ένα κεντρικό μητρώο δοτών.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

Αυτή τη στιγμή βρίσκεται σε εξέλιξη μια διαμάχη μεταξύ της Ευρωπαϊκής Επιτροπής και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (EDPS) σχετικά με τη χρήση του Microsoft Office 365.

Η Επιτροπή πράγματι κίνησε νομική διαδικασία στα μέσα Μαΐου για να αμφισβητήσει τα ευρήματα έρευνας του ΕΕΠΔ σχετικά με τη χρήση αυτών των υπηρεσιών.

Ο ΕΕΠΔ επικρίνει ιδιαίτερα την Επιτροπή για τη μη παροχή εγγυήσεων σχετικά με τη μεταφορά δεδομένων στις Ηνωμένες Πολιτείες. 

Στη σύμβασή της με τη Microsoft, η Επιτροπή φέρεται επίσης να μην διευκρίνισε επαρκώς τους τύπους προσωπικών δεδομένων που συλλέχθηκαν και τους σκοπούς της επεξεργασίας, κατά παράβαση του ΓΚΠΔ της ΕΕ.

Ο ΕΕΠΔ κάλεσε την Επιτροπή να αναστείλει τις εν λόγω μεταφορές και να συμμορφωθεί με τον νόμο έως τις 9 Δεκεμβρίου. Τα συμπεράσματα της Επιτροπής δημοσιεύθηκαν στα μέσα Ιουλίου στην Επίσημη Εφημερίδα της ΕΕ.

Στις 12 Ιουλίου, η Ευρωπαϊκή Επιτροπή απέστειλε τα προκαταρκτικά της ευρήματα στην X (πρώην Twitter) σχετικά με τη συμμόρφωση με τον Ευρωπαϊκό Κανονισμό για τις Ψηφιακές Υπηρεσίες (DSA).

Οι διαδικασίες που ξεκίνησαν τον Δεκέμβριο του 2023 στοχεύουν συγκεκριμένα στα «σκοτεινά μοτίβα», τη διαφάνεια στη διαφήμιση και την πρόσβαση των ερευνητών σε δεδομένα.

Ο Έλον Μασκ έχει ήδη ανακοινώσει ότι θα αμφισβητήσει τα ευρήματα της Επιτροπής στο δικαστήριο.

Κατά τη σύνοδο ολομέλειας στα μέσα Ιουλίου, το ΕΣΠΔ ενέκρινε δήλωση σχετικά με τον ρόλο των αρχών προστασίας δεδομένων (ΑΠΔ) στο πλαίσιο του κανονισμού για την τεχνητή νοημοσύνη.

Ο κανονισμός ορίζει ότι τα κράτη μέλη ορίζουν εθνικές «αρχές εποπτείας της αγοράς» έως τις 2 Αυγούστου 2025, με στόχο την εποπτεία της εφαρμογής και της υλοποίησης του.

Σύμφωνα με το ΕΣΠΔ, οι ΑΠΔ έχουν ήδη εμπειρία όσον αφορά τον αντίκτυπο της Τεχνητής Νοημοσύνης στα θεμελιώδη δικαιώματα και ως εκ τούτου θα πρέπει να οριστούν ως αρχές εποπτείας της αγοράς, διασφαλίζοντας έτσι τον καλύτερο συντονισμό μεταξύ των διαφόρων ρυθμιστικών αρχών και μεγαλύτερη ασφάλεια δικαίου για όλα τα ενδιαφερόμενα μέρη.

Πρέπει να σημειωθεί ότι ο κανονισμός για την Τεχνητή Νοημοσύνη, ο οποίος δημοσιεύθηκε στις 12 Ιουλίου στην Επίσημη Εφημερίδα της ΕΕ, τέθηκε σε ισχύ την 1η Αυγούστου.

Το ΕΣΠΔ ενέκρινε επίσης δύο έγγραφα (Συχνές ερωτήσεις) σχετικά με τη συμφωνία μεταξύ Ευρωπαϊκής Ένωσης και Ηνωμένων Πολιτειών για την προστασία των προσωπικών δεδομένων, προκειμένου να παράσχει περισσότερες λεπτομέρειες σχετικά με τον τρόπο λειτουργίας της.

Αυτά τα έγγραφα προορίζονται αφενός για ιδιώτες και αφετέρου για επιχειρήσεις.

Στις 11 Ιουλίου, το ΔΕΕ έλαβε θέση σε μια υπόθεση κατά της εταιρείας Meta έναντι μιας γερμανικής ομοσπονδίας οργανώσεων καταναλωτών.

Το Δικαστήριο υπενθύμισε ότι η υποχρέωση του υπευθύνου επεξεργασίας να παρέχει πληροφορίες στα υποκείμενα των δεδομένων αποτελεί συνέπεια του δικαιώματος των εν λόγω προσώπων στην ενημέρωση βάσει των άρθρων 12 και 13 του ΓΚΠΔ και, ως εκ τούτου, αποτελεί ένα από τα δικαιώματα που μπορούν να διεκδικηθούν με αντιπροσωπευτική αγωγή σύμφωνα με το άρθρο 80(2) του ΓΚΠΔ.

Το Δικαστήριο σημείωσε επίσης ότι η παραβίαση των υποχρεώσεων ενημέρωσης μπορεί να εμποδίσει το υποκείμενο των δεδομένων να δώσει «ενημερωμένη» συγκατάθεση και, κατά συνέπεια, μπορεί να καταστήσει την επεξεργασία παράνομη βάσει του άρθρου 5(1)(α) του Κανονισμού (μέσω του GDPRhub).

Η Microsoft έγινε πρωτοσέλιδο σε διαφορετικό πλαίσιο στις 19 Ιουλίου, όταν ένας από τους υπεργολάβους της, η Crowdstrike, διένειμε μια ελαττωματική ενημέρωση στο λογισμικό ασφαλείας Falcon Sensor.

Περίπου 8,5 εκατομμύρια υπολογιστές με Microsoft Windows που χρησιμοποιούσαν το λογισμικό κατέρρευσαν και δεν μπόρεσαν να επανεκκινηθούν σωστά, σε αυτό που έχει περιγραφεί ως «η μεγαλύτερη διακοπή στην ιστορία της τεχνολογίας των πληροφοριών».

Από νομικής άποψης, η έλλειψη διαθεσιμότητας δεδομένων που προκαλείται από μια τέτοια αποτυχία συνιστά παραβίαση της ασφάλειας που απαιτεί τη λήψη μέτρων βάσει, ιδίως, της ευρωπαϊκής οδηγίας NIS2 (η οποία θα τεθεί σε ισχύ από τον επόμενο Οκτώβριο).

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) θεωρεί ότι πρόκειται επίσης για παραβίαση προσωπικών δεδομένων κατά την έννοια του άρθρου 4(12) του ΓΚΠΔ, συμπεριλαμβανομένων των παραβιάσεων που έχουν ως αποτέλεσμα την τυχαία ή παράνομη απώλεια δεδομένων.

Ανάλογα με τις συνέπειες, αυτό συνεπάγεται ενημέρωση των αρχών προστασίας δεδομένων και των ενδιαφερομένων προσώπων.

Αυτή η θέση συζητείται επί του παρόντος, με ορισμένους επαγγελματίες να θεωρούν ότι η μη διαθεσιμότητα δεδομένων δεν συνιστά απώλεια κατά την έννοια του ΓΚΠΔ, ενώ άλλοι επικαλούνται τις ενίοτε ζωτικές συνέπειες του αποκλεισμού της πρόσβασης στα δεδομένα για τα ενδιαφερόμενα άτομα.

 

Νέα από τις χώρες μέλη της Ευρώπης.

Γερμανικό δικαστήριο έκρινε ότι η Google Ireland Limited, ως φορέας εκμετάλλευσης της μηχανής αναζήτησης Google, είναι υπεύθυνη για την εμφάνιση αποτελεσμάτων αναζήτησης, ανεξάρτητα από το γεγονός ότι τα αποτελέσματα αναζήτησης παρέχονται από την εταιρεία Google LLC με έδρα τις ΗΠΑ.

Στη Δανία, η αρχή προστασίας δεδομένων επέπληξε το Υπουργείο Μετανάστευσης και Ένταξης για παραβίαση της αρχής του περιορισμού της αποθήκευσης, μη συμμορφούμενο με τη δική του πολιτική διατήρησης δεδομένων.

Σε απόφαση που εξέδωσε στις 27 Ιουνίου, το Ισπανικό Τμήμα Διοικητικών Διαφορών του «Audiencia Nacional» έκρινε ότι η Ισπανική Αρχή Προστασίας Δεδομένων (APD) ήταν αρμόδια να χειριστεί καταγγελία που κατατέθηκε κατά της αμερικανικής εταιρείας Clearview AI.

Το Δικαστήριο βασίστηκε σε προηγούμενες αποφάσεις διαφόρων αρχών προστασίας δεδομένων, συμπεριλαμβανομένων εκείνων της ιταλικής αρχής, και σε αυτήν της CNIL της 26ης Νοεμβρίου 2021, στην οποία προσδιόρισε την Clearview ως εμπίπτουσα στο πεδίο εφαρμογής του άρθρου 3(2)(β) του ΓΚΠΔ.

Η CNIL έλαβε υπόψη την αναζήτηση φωτογραφιών στο διαδίκτυο από την εταιρεία Clearview, τις διευθύνσεις URL αυτών των φωτογραφιών και τα μεταδεδομένα τους, γεγονός που της επέτρεψε να εντοπίσει και να δημιουργήσει ένα λεπτομερές προφίλ των εν λόγω ατόμων και, ως εκ τούτου, να παρακολουθήσει τη συμπεριφορά τους.

Στην Ιταλία, η APD επέβαλε πρόστιμο 30.000 ευρώ σε έναν υπεύθυνο επεξεργασίας δεδομένων μετά από παραβίαση δεδομένων λόγω χρήσης ενός παρωχημένου εργαλείου CMS, το οποίο ήταν ιδιαίτερα ευάλωτο σε κυβερνοεπιθέσεις.

Η Λιθουανική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 2.385.276 ευρώ στην Vinted, θεωρώντας ότι οι πρακτικές της περί «κρυφών αποκλεισμών» (που συνίστανται στον αποκλεισμό ενός χρήστη από την πλατφόρμα χωρίς να τον ενημερώσει), καθώς και η μη ανταπόκριση σε αιτήματα για διαγραφή δεδομένων, ήταν αντίθετες με τις αρχές της δικαιοσύνης και της διαφάνειας.

Στη συγκεκριμένη περίπτωση, οι ενάγοντες, οι οποίοι ήταν από τη Γαλλία και την Πολωνία, είχαν επικοινωνήσει με τις αντίστοιχες αρχές τους.

Οι καταγγελίες διαβιβάστηκαν στην λιθουανική αρχή, η οποία είναι η επικεφαλής αρχή στο πλαίσιο αυτό, δεδομένου ότι η κύρια εγκατάσταση της Vinted βρίσκεται στη Λιθουανία.

Στο Λουξεμβούργο, ένα δικαστήριο επικύρωσε το πρόστιμο των 18.000 ευρώ που επέβαλε η APD σε έναν υπεύθυνο επεξεργασίας δεδομένων επειδή δεν εμπλέκει άμεσα τον DPO του ομίλου σε θέματα προστασίας δεδομένων και επειδή δεν του παρείχε επαρκείς πόρους.

Η Ολλανδική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 600.000 ευρώ στην Kruidvat.nl για τοποθέτηση cookies παρακολούθησης πριν από τη λήψη της συγκατάθεσης των χρηστών.

Η DPA έκρινε επίσης ότι ένα προεπιλεγμένο πλαίσιο για την αποδοχή των cookies παρακολούθησης δεν συνιστά ελεύθερα δοθείσα, συγκεκριμένη, ενημερωμένη και σαφή συγκατάθεση.

 

Στις 19 Ιουνίου, η Αρχή Προστασίας Δεδομένων του Ηνωμένου Βασιλείου (ICO) δημοσίευσε την απόφασή της σχετικά με την εφαρμογή "My AI" της Snap και τη συμμόρφωση με την υποχρέωση διενέργειας εκτίμησης επιπτώσεων στην προστασία δεδομένων (DPIA).

Η απόφαση περιέχει λεπτομερή σχόλια σχετικά με τις προσδοκίες του ICO σχετικά με το επίπεδο λεπτομέρειας που πρέπει να συμπεριληφθεί στις ΕΑΠΔ γενικά, καθώς και συγκεκριμένες παρατηρήσεις όσον αφορά την ΤΝ γενικού σκοπού και την ΤΝ που αφορούν παιδιά.

Δεδομένου ότι η βρετανική νομοθεσία στην οποία βασίζονται αυτές οι διατάξεις εξακολουθεί να είναι σχεδόν πανομοιότυπη με εκείνη της ΕΕ, οι παρατηρήσεις αυτές μπορεί να είναι χρήσιμες και πέρα από το Ηνωμένο Βασίλειο.

Το ICO εξέδωσε επίσης δελτίο τύπου στις 30 Ιουλίου, δηλώνοντας ότι είχε επιπλήξει την Εκλογική Επιτροπή για την αδυναμία προστασίας των διακομιστών της, η οποία επέτρεψε σε χάκερ πρόσβαση στα προσωπικά στοιχεία περίπου 40 εκατομμυρίων ανθρώπων.

Στις Ηνωμένες Πολιτείες, έχει κατατεθεί στη Γερουσία ένα νομοσχέδιο για την Τεχνητή Νοημοσύνη ("The Content Origin Protection and Integrity from Edited and Deepfaked Media Act (COPIED ACT)") για την καταπολέμηση των "deepfakes", την αύξηση της διαφάνειας της Τεχνητής Νοημοσύνης και την παροχή μεγαλύτερης εξουσίας στους δημιουργούς περιεχομένου.

Η Γερουσία των ΗΠΑ ψήφισε τον Νόμο για την Ασφάλεια και το Απόρρητο των Παιδιών στο Διαδίκτυο στα τέλη Ιουλίου.

Αυτό το δικομματικό νομοσχέδιο συνδυάζει πολλά νομοσχέδια που αφορούν την ασφάλεια, την προστασία του διαδικτυακού απορρήτου των παιδιών και των εφήβων και τη διαφάνεια στο φιλτράρισμα που σχετίζεται με τη χρήση της Τεχνητής Νοημοσύνης.

Το κείμενο πρέπει τώρα να εγκριθεί από τη Βουλή των Αντιπροσώπων.

Σε ανακοίνωση με ημερομηνία 23 Ιουλίου, η Ομοσπονδιακή Επιτροπή Εμπορίου ανέφερε ότι είχε δώσει εντολή σε οκτώ εταιρείες να της παράσχουν πληροφορίες σχετικά με προϊόντα και υπηρεσίες που χρησιμοποιούν προσωπικά δεδομένα, συμπεριλαμβανομένων των οικονομικών και του ιστορικού περιήγησης, για την εξατομίκευση της τιμολόγησης για τα άτομα.

Οι εντολές έχουν ως στόχο να βοηθήσουν την FTC να κατανοήσει καλύτερα την αδιαφανή αγορά προϊόντων που προσφέρονται από τρίτους μεσάζοντες που χρησιμοποιούν προηγμένους αλγόριθμους καθώς και δεδομένα χρηστών (τοποθεσία, δημογραφικά στοιχεία, πιστωτικό ιστορικό και ιστορικό περιήγησης ή αγορών) για την κατηγοριοποίηση ατόμων και τη στόχευση των τιμών τους.

Ενώ η Google είχε αρχίσει να καταργεί σταδιακά τα cookies παρακολούθησης τρίτων από το Chrome μέσω του "sandbox απορρήτου" (ένα σύστημα παρακολούθησης που παρουσιάζεται ως φιλικό προς το απόρρητο, αλλά αμφισβητείται αλλού), η εταιρεία ανακοίνωσε στις 22 Ιουλίου ότι εγκαταλείπει το έργο.

Αντί να καταργήσει τα cookies τρίτων, η Google θα εισαγάγει «μια νέα εμπειρία στο Chrome που θα επιτρέπει στους χρήστες να κάνουν μια ενημερωμένη επιλογή που θα ισχύει για όλη την περιήγησή τους στο διαδίκτυο», μια επιλογή που θα μπορούσε να αλλάξει ανά πάσα στιγμή.

Η βρετανική ODA έχει δηλώσει ότι λυπάται για την εγκατάλειψη του έργου.

Ο νόμος περί προστασίας δεδομένων του Μαλάουι τέθηκε σε ισχύ τον Ιούλιο.

Θα ενταχθεί στον πλέον μακρύ κατάλογο των αφρικανικών χωρών με νόμο που προστατεύει τα προσωπικά δεδομένα.

Επιπλέον, το Αφρικανικό Παρατηρητήριο για την Υπεύθυνη Τεχνητή Νοημοσύνη δημοσίευσε τον περασμένο Μάρτιο ένα έγγραφο με τίτλο «Διακυβέρνηση της Υπεύθυνης Τεχνητής Νοημοσύνης στην Αφρική: Προοπτικές για Ρύθμιση Βασισμένη σε Αποτελέσματα».