Νομικό Περιοδικό Αρ. 57 – Μάρτιος 2023.

Έξυπνες κάμερες και βιομετρικά στοιχεία – ποιος θα είναι ο αντίκτυπος του νόμου που σχετίζεται με τους Ολυμπιακούς Αγώνες;

Στις 23 Μαρτίου, η Εθνοσυνέλευση υιοθέτησε το Άρθρο 7 του νόμου για τους Ολυμπιακούς Αγώνες.

Το νομοσχέδιο, το οποίο ψηφίστηκε σε μια αραιή συνέλευση (73 από τα 577 μέλη ήταν παρόντα), έχει ήδη προκαλέσει πολλές συζητήσεις και σίγουρα θα προκαλέσει πολλές ακόμη αντιδράσεις τους επόμενους μήνες.

Ουσιαστικά νομιμοποιεί τη χρήση αλγοριθμικής επιτήρησης μέχρι τον Δεκέμβριο του 2024, σε ένα πλαίσιο που περιγράφεται ως εξαιρετικό αλλά για εκδηλώσεις που υπερβαίνουν το αυστηρό πλαίσιο των Ολυμπιακών Αγώνων.

Η επιτήρηση μπορεί να αφορά «αθλητικές, ψυχαγωγικές ή πολιτιστικές εκδηλώσεις» γενικά, «εκθέσεις που εκτίθενται σε κινδύνους τρομοκρατικών ενεργειών ή σοβαρές απειλές για την ασφάλεια προσώπων».

Επομένως, μπορεί να δοκιμαστεί σε αθλητικές εκδηλώσεις όπως το Παγκόσμιο Κύπελλο Ράγκμπι του φετινού φθινοπώρου.

 

Τι είναι η αλγοριθμική επιτήρηση; Είναι μια μορφή βιομετρικής επιτήρησης που υπόκειται στις αυστηρές υποχρεώσεις του ΓΚΠΔ και του μελλοντικού ευρωπαϊκού κανονισμού για την τεχνητή νοημοσύνη;

Το έργο σχεδιάζει να χρησιμοποιήσει «επαυξημένες κάμερες» με τη βοήθεια τεχνητής νοημοσύνης, οι οποίες θα ελέγχονται από drones, οι οποίες θα χρησιμοποιούνται για την αυτόματη ανάλυση εικόνων σε πραγματικό χρόνο μέσω αλγορίθμων για την ανίχνευση προκαθορισμένων γεγονότων, όπως κινήσεις πλήθους, αποσκευές, χειρονομίες ή ύποπτη συμπεριφορά.

Ενώ επισήμανε τα σημαντικά ζητήματα των επαυξημένων καμερών όσον αφορά την ιδιωτικότητα και την προστασία των προσωπικών δεδομένων, η CNIL στις παρατηρήσεις της της 8ης Δεκεμβρίου δεν φάνηκε να λαμβάνει υπόψη ότι θα λειτουργούσε η βιομετρική επεξεργασία.

Σημείωσε ότι πολλά μέτρα ήταν σύμφωνα με τις συστάσεις της:

• Πειραματική ανάπτυξη, περιορισμένη σε χρόνο και χώρο, για ορισμένους συγκεκριμένους σκοπούς και που αντιστοιχεί σε σοβαρούς κινδύνους για τους ανθρώπους,
• Έλλειψη επεξεργασίας βιομετρικών δεδομένων και διασταύρωσης με άλλα αρχεία, και
• Αποφάσεις που υπόκεινται σε προηγούμενη ανθρώπινη παρέμβαση.

Για την κοινωνία των πολιτών, ωστόσο, η τεχνολογία που χρησιμοποιείται εμπίπτει σαφώς στην κατηγορία της βιομετρίας.

Πράγματι, «εντοπίζει, αναλύει και ταξινομεί συνεχώς σώματα, φυσικά χαρακτηριστικά, χειρονομίες, σιλουέτες και βηματισμούς, τα οποία είναι αναμφισβήτητα βιομετρικά δεδομένα».

Το La Quadrature du Net και περίπου σαράντα διεθνείς οργανισμοί ανέπτυξαν αυτήν την προοπτική σε μια ανοιχτή επιστολή προς την Εθνοσυνέλευση, την οποία συντόνισε και δημοσίευσε το ECNL (Ευρωπαϊκό Κέντρο για το Μη Κερδοσκοπικό Δίκαιο).

Ο ΓΚΠΔ ορίζει τα βιομετρικά δεδομένα ως «δεδομένα προσωπικού χαρακτήρα που προκύπτουν από συγκεκριμένη τεχνική επεξεργασία που σχετίζεται με τα φυσικά, φυσιολογικά ή συμπεριφορικά χαρακτηριστικά ενός φυσικού προσώπου, τα οποία επιτρέπουν ή επιβεβαιώνουν την μοναδική ταυτοποίησή του» (Άρθρο 4.14).

Η ανοιχτή επιστολή σημειώνει ότι οι κάμερες αναπόφευκτα θα καταγράφουν και θα αναλύουν τα φυσιολογικά χαρακτηριστικά και τις συμπεριφορές των ανθρώπων που βρίσκονται σε παρακολουθούμενους δημόσιους χώρους και ότι η απομόνωση αυτών των ανθρώπων από το περιβάλλον τους, η οποία αποδεικνύεται απαραίτητη για την εκπλήρωση του στόχου του συστήματος, αποτελεί «μοναδική ταυτοποίηση».

Σύμφωνα με τον ΓΚΠΔ και την ερμηνεία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων επί του θέματος, η δυνατότητα απομόνωσης ενός ατόμου από ένα πλήθος ή από το περιβάλλον του, είτε το όνομα ή η ταυτότητά του είναι γνωστά είτε όχι, αποτελεί «μοναδικό αναγνωριστικό στοιχείο».

Η κατάταξη των ατόμων σε μια κατηγορία που ομαδοποιεί συμπεριφορές «υψηλού κινδύνου» με βάση αυτά τα δεδομένα θα συνιστούσε επομένως μια βιομετρική κατηγοριοποίηση που είναι πιθανό να αντιβαίνει στις διατάξεις του μελλοντικού ευρωπαϊκού κανονισμού για την τεχνητή νοημοσύνη.

Στο πλαίσιο αυτό, θα πρέπει να σημειώσουμε τη γνωμοδότηση της 18ης Ιουνίου 2021 από τις ευρωπαϊκές ρυθμιστικές αρχές προστασίας δεδομένων, η οποία ζητά γενική απαγόρευση οποιασδήποτε χρήσης Τεχνητής Νοημοσύνης για την αυτόματη αναγνώριση ανθρώπινων χαρακτηριστικών σε δημόσια προσβάσιμους χώρους.

Αυτά τα επιχειρήματα περιλαμβάνονται επίσης σε επιστολή που έστειλαν στην Εθνοσυνέλευση 41 μέλη του Ευρωπαϊκού Κοινοβουλίου, τα οποία τονίζουν ότι με αυτόν τον νόμο η Γαλλία θα γίνει η πρώτη χώρα στην Ευρώπη που θα νομιμοποιήσει τη μαζική επιτήρηση του δημόσιου χώρου της.

Συνεπώς, η νομοθεσία ενδέχεται να πρέπει να υποβληθεί σε δοκιμή συμβατότητας με το ευρωπαϊκό δίκαιο.

Θα πρέπει να σημειωθεί εν προκειμένω ότι το σχέδιο κανονισμού για την τεχνητή νοημοσύνη βρίσκεται στην ημερήσια διάταξη της ολομέλειας του Ευρωπαϊκού Κοινοβουλίου για τα τέλη Μαΐου.

 

Και επίσης

CNIL    

 Η CNIL δημοσίευσε τη λίστα της με τους... θέματα ελέγχου προτεραιότητας Για το 2023: φέτος θα επικεντρωθεί στα εξής:

• Η χρήση «επαυξημένων» καμερών από δημόσιους φορείς,
• Η χρήση του αρχείου συμβάντων καταναλωτικής πίστης,
• Η διαχείριση των αρχείων υγείας των ασθενών και
• Εφαρμογές για κινητά.

Δημοσίευσε επίσης τον πρώτο της θεματικό φάκελο στα τέλη Μαρτίου σχετικά με ψηφιακή ταυτότητα, παρουσιάζοντας τις βασικές αρχές και τις θέσεις του επί του θέματος.

Ο φάκελος απευθύνεται στο ευρύ κοινό καθώς και σε δημόσιους ή ιδιωτικούς οργανισμούς και ερευνητές.

Στο πλαίσιο αυτό, αξίζει να υπενθυμιστεί ότι σε δημοσίευση της 22ας Φεβρουαρίου, η CNIL εξέτασε το πείραμα που διεξάγεται από το 2019 σχετικά με την ηλεκτρονική κάρτα ασφάλισης υγείας («e-carte Vitale»), η οποία θα προσφέρεται προαιρετικά σε όλους τους δικαιούχους κοινωνικής ασφάλισης πριν από το τέλος του 2025.

Πέρα από την καθημερινή του χρήση, το «e-Carte Vitale» θα αποτελέσει μια εναλλακτική λύση στο FranceConnect για τον τομέα της ψηφιακής υγείας.

Στις 16 Μαρτίου 2023, η CNIL επέβαλε πρόστιμο 125.000 ευρώ στην εταιρεία. CITYSCOOT.

Η CNIL διαπίστωσε ότι η εταιρεία εντόπιζε γεωγραφικά τους πελάτες της σχεδόν μόνιμα κατά την ενοικίαση ενός σκούτερ και διατηρούσε αυτά τα δεδομένα.

Η Επιτροπή σημείωσε επίσης ότι οι συμφωνίες υπεργολαβίας δεν περιελάμβαναν ορισμένες ουσιώδεις ρήτρες, όπως η φύση των συλλεγόμενων δεδομένων, τα μέτρα ασφαλείας που έπρεπε να ληφθούν και η τύχη των δεδομένων σε περίπτωση λήξης των συμβάσεων.

Η εταιρεία χρησιμοποίησε επίσης έναν μηχανισμό reCAPTCHA που διαβίβασε τα συλλεγόμενα δεδομένα στην GOOGLE για ανάλυση, χωρίς να παρέχει καμία πληροφορία στον χρήστη και χωρίς να λάβει την προηγούμενη συγκατάθεσή του.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

ΕΣΠΔ

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) ξεκίνησε τη συντονισμένη ετήσια δράση επιθεώρησης.

Κατά τους επόμενους μήνες, 26 εθνικές αρχές προστασίας δεδομένων από τον ΕΟΧ θα συμμετάσχουν σε αυτήν τη δράση σχετικά με τον διορισμό και τη θέση των υπευθύνων προστασίας δεδομένων.

Οι έρευνες θα στοχεύουν στη διαπίστωση του κατά πόσον οι εκπρόσωποι κατέχουν θέση που συμμορφώνεται με τις απαιτήσεις των άρθρων 37 έως 39 του ΓΚΠΔ και τους πόρους που είναι απαραίτητοι για την εκτέλεση των καθηκόντων τους.

Θα τους αποσταλούν ερωτηματολόγια προκειμένου να χαρτογραφηθεί η κατάστασή τους και να διαπιστωθεί εάν δικαιολογείται η διεξαγωγή επίσημης έρευνας.

Ψηφιακή καταγραφή δεδομένων

Σύμφωνα με τον Κανονισμό για τις Ψηφιακές Υπηρεσίες (DSA), η Ευρωπαϊκή Ένωση έχει θεσπίσει νέους κανόνες που απαιτούν από τις πολύ μεγάλες διαδικτυακές πλατφόρμες (Πολύ Μεγάλες Διαδικτυακές Πλατφόρμες και Πολύ Μεγάλες Μηχανές Αναζήτησης) με περισσότερους από 45 εκατομμύρια χρήστες να εγγραφούν στην Ευρωπαϊκή Επιτροπή πριν από τις 17 Φεβρουαρίου.

Σύμφωνα με ανάλυση καθηγητή στο London School of Economics and Political Science, θα εμπλέκονταν 18 φορείς: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, αναζήτηση Bing και αναζήτηση Google.

TikTok

Το κοινωνικό δίκτυο TikTok ανακοίνωσε στα μέσα Φεβρουαρίου την πρόθεσή του να συμμορφωθεί με τον Νόμο περί Ψηφιακής Ασφάλειας (DSA), ο οποίος θα τεθεί σε ισχύ στα μέσα του 2023.

Το TikTok ανακοίνωσε επίσης την ανάπτυξη κέντρων δεδομένων στην Ευρώπη προκειμένου να περιοριστούν οι διασυνοριακές ροές δεδομένων.

Αυτή η ανακοίνωση έρχεται καθώς τα θεσμικά όργανα της ΕΕ, καθώς και οι κυβερνήσεις της Ολλανδίας, του Καναδά και του Λευκού Οίκου στις Ηνωμένες Πολιτείες, ζήτησαν πρόσφατα από τους υπαλλήλους τους να απεγκαταστήσουν την εφαρμογή από τον επαγγελματικό και προσωπικό τους εξοπλισμό, επικαλούμενοι ανησυχίες για την προστασία των προσωπικών δεδομένων.

DMA

Στα τέλη Μαρτίου, η Ευρωπαϊκή Επιτροπή συγκρότησε μια ομάδα υψηλού επιπέδου για να διασφαλίσει τη συνεπή εφαρμογή του Κανονισμού για τις Ψηφιακές Αγορές (DMA) με άλλους ευρωπαϊκούς κανονισμούς.

Μεταξύ των διορισμένων είναι ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB).

Ο νόμος για τις ψηφιακές αγορές εφαρμόζεται ειδικά σε μεγάλες διαδικτυακές πλατφόρμες που χαρακτηρίζονται ως «φύλακες».

ΕΝΙΣΑ 

Ο ευρωπαϊκός οργανισμός ENISA δημοσιεύει στις 29 Μαρτίου μια μελέτη σχετικά με τις απειλές στον κυβερνοχώρο έως το 2030.

Η παρούσα μελέτη στοχεύει στον εντοπισμό και τη συλλογή πληροφοριών σχετικά με μελλοντικές απειλές που θα μπορούσαν να επηρεάσουν τις υποδομές και τις υπηρεσίες της Ένωσης, καθώς και την ικανότητά της να διασφαλίζει την ψηφιακή ασφάλεια της ευρωπαϊκής κοινωνίας και των πολιτών.

Ο ENISA δημοσιεύει επίσης μια έκθεση σχετικά με την κυβερνοασφάλεια και την τυποποίηση της Τεχνητής Νοημοσύνης.

Στόχος του εγγράφου είναι να παράσχει μια επισκόπηση των υφιστάμενων και μελλοντικών προτύπων, να αξιολογήσει το πεδίο εφαρμογής τους και να εντοπίσει κενά στην τυποποίηση.

Λαμβάνει υπόψη τις ιδιαιτερότητες της Τεχνητής Νοημοσύνης, και ιδίως της μηχανικής μάθησης, και υιοθετεί ένα ευρύ όραμα για την κυβερνοασφάλεια, που περιλαμβάνει τις απαιτήσεις εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας, καθώς και την ευρύτερη έννοια της αξιοπιστίας της Τεχνητής Νοημοσύνης.

Τέλος, η έκθεση εξετάζει πώς η τυποποίηση μπορεί να υποστηρίξει την εφαρμογή πτυχών της κυβερνοασφάλειας που ενσωματώνονται στον προτεινόμενο κανονισμό της ΕΕ για την Τεχνητή Νοημοσύνη.

ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ

Στις 6 Μαρτίου, η Ευρωπαϊκή Επιτροπή ανακοίνωσε ότι, μετά από διάλογο με τη συμμετοχή των αρχών προστασίας των καταναλωτών της ΕΕ, το WhatsApp δεσμεύτηκε να είναι πιο διαφανές σχετικά με τις αλλαγές στους όρους παροχής υπηρεσιών του.

Η εταιρεία θα διευκολύνει επίσης τους χρήστες να απορρίπτουν ενημερώσεις όταν διαφωνούν με αυτές και θα εξηγεί πότε μια τέτοια απόρριψη οδηγεί στο να μην μπορεί πλέον ο χρήστης να χρησιμοποιεί τις υπηρεσίες της.

Το WhatsApp επιβεβαίωσε επίσης ότι τα προσωπικά δεδομένα των χρηστών δεν κοινοποιούνται σε τρίτους ή σε άλλες εταιρείες Meta για διαφημιστικούς σκοπούς.

IAPP

Ο ιστότοπος της IAPP περιλαμβάνει έναν πίνακα («Πρωτοβουλίες της ΕΕ για τα δεδομένα στο πλαίσιο») που απαριθμεί τους ευρωπαϊκούς κανονισμούς προστασίας δεδομένων και τις τρέχουσες πρωτοβουλίες, από τον ΓΚΠΔ και τον Οδηγό Ψηφιακής Ασφάλειας έως την ευρωπαϊκή στρατηγική για την κυβερνοασφάλεια. Ο κατάλογος αυτός ενημερώθηκε τον Μάρτιο του 2023.

 

Εθνικά νέα

• ΗΝΩΜΕΝΟ ΒΑΣΙΛΕΙΟ: Την Πέμπτη 9 Μαρτίου, η βρετανική κυβέρνηση παρουσίασε στο Κοινοβούλιο ένα «μαλακωμένο» νομοσχέδιο για την προστασία δεδομένων και ψηφιακών πληροφοριών. Η προτεινόμενη μεταρρύθμιση θα επέτρεπε στις εταιρείες να συλλέγουν δεδομένα πιο εύκολα χωρίς τη συγκατάθεση των χρηστών τους, για παράδειγμα, στο πλαίσιο των πολιτικών τους για την έρευνα και την ανάπτυξη.

Οι υποχρεώσεις σχετικά με τη συγκατάθεση για την τοποθέτηση cookies θα χαλαρώσουν επίσης και η πρόσληψη εσωτερικού υπευθύνου προστασίας δεδομένων δεν θα είναι πλέον υποχρεωτική.

Ακόμα στο Ηνωμένο Βασίλειο:

• Το Εθνικό Κέντρο Κυβερνοασφάλειας δημοσίευσε ένα άρθρο που αξιολογεί τους κινδύνους και διατυπώνει συστάσεις για τη χρήση LLM (Large Language Models) όπως το ChatGPT.

Εάν τα δεδομένα ερωτήματος δεν χρησιμοποιούνται σήμερα για την τροφοδοσία του μοντέλου, θα μπορούσαν να χρησιμοποιηθούν σε μελλοντικές εκδόσεις.

Το άρθρο επισημαίνει αυξημένους κινδύνους όσον αφορά το κυβερνοέγκλημα, όπως η παραγωγή πιο πειστικών email ηλεκτρονικού "ψαρέματος" (phishing) ή η εκμάθηση νέων τεχνικών επίθεσης.

Συνιστά να μην περιλαμβάνονται ευαίσθητες πληροφορίες σε αιτήματα που απευθύνονται σε δημόσιους LLM.

• Η βρετανική αρχή προστασίας δεδομένων, από την πλευρά της, έχει ενημερώσει τις οδηγίες της σχετικά με την τεχνητή νοημοσύνη και την προστασία δεδομένων κατόπιν αιτήματος του κλάδου.

Οι κατευθυντήριες γραμμές διευκρινίζουν τις απαιτήσεις δίκαιης μεταχείρισης στην Τεχνητή Νοημοσύνη.

• ΙΤΑΛΙΑ: Τα μεταπτυχιακά LLM (LLM) βρίσκονται στο επίκεντρο της προσοχής στις αρχές της άνοιξης. Στις 31 Μαρτίου, η ιταλική αρχή προστασίας δεδομένων εξέδωσε εντολή κατά του OpenAI, μπλοκάροντας το ChatGPT στην Ιταλία λόγω έλλειψης διαφάνειας, απουσίας νόμιμου λόγου επεξεργασίας, μη διασφάλισης της ακρίβειας των δεδομένων που υποβάλλονται σε επεξεργασία, έλλειψης επαλήθευσης ηλικίας και γενικής παραβίασης της αρχής της «προστασίας της ιδιωτικής ζωής εκ σχεδιασμού».
• ΤΣΕΧΙΚΗ ΔΗΜΟΚΡΑΤΙΑ: Η εταιρεία κυβερνοασφάλειας και προστασίας από ιούς Avast τιμωρήθηκε με πρόστιμο 13,7 εκατομμυρίων ευρώ από την Τσεχική Αρχή Προστασίας Δεδομένων για παραβίαση του GDPR.

Τα δεδομένα χρηστών που συλλέχθηκαν μέσω των Χαρτών Google, YouTube, LinkedIn και, γενικότερα, των αναζητήσεων στο διαδίκτυο στην Google, πωλήθηκαν μέσω της θυγατρικής της Jumpshot.

Η έρευνα της Τσεχικής Αρχής Προστασίας Δεδομένων αφορά την ιστορική επεξεργασία προσωπικών δεδομένων πριν από τον Ιανουάριο του 2020, όταν η Avast έκλεισε την Jumpshot.

• ΝΟΡΒΗΓΙΑ: Η Νορβηγική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 220.000 ευρώ στην Argon Medical Devices για καθυστέρηση κοινοποίησης παραβίασης δεδομένων λόγω συστηματικής και εκτεταμένης χρήσης εξωτερικών συμβούλων.

Η εν λόγω προσφυγή σε τρίτους θεωρήθηκε ότι επιβραδύνει αδικαιολόγητα τη διαδικασία κοινοποίησης παραβιάσεων της ασφάλειας.

Νορβηγία ξανά:

• Μετά από μία από τις 101 καταγγελίες της ΜΚΟ NOYB σχετικά με μεταφορές προς τις Ηνωμένες Πολιτείες, η Νορβηγική Αρχή Προστασίας Δεδομένων ενημέρωσε έναν υπεύθυνο επεξεργασίας για την πρόθεσή της να τον επιπλήξει για τη χρήση του Google Analytics και την επακόλουθη μεταφορά προσωπικών δεδομένων στις Ηνωμένες Πολιτείες, κατά παράβαση του άρθρου 44 του ΓΚΠΔ.
• Επίσης στη Νορβηγία, το Συμβούλιο Προσφυγών για την Προστασία Δεδομένων επικύρωσε την απόφαση της Αρχής Προστασίας Δεδομένων να επιβάλει πρόστιμο 352.555 ευρώ σε έναν δήμο για παραβίαση του άρθρου 5(1)(στ) και των άρθρων 24 και 32 του ΓΚΠΔ μετά από επίθεση ransomware που είχε ως αποτέλεσμα την ανεπανόρθωτη απώλεια εξαιρετικά ευαίσθητων προσωπικών δεδομένων και την πώλησή τους στο dark web.
• ΑΥΣΤΡΙΑ: Η Αυστριακή Αρχή Προστασίας Δεδομένων (APD) αποφάσισε ότι η χρήση του εικονοστοιχείου παρακολούθησης του Facebook παραβιάζει τον ΓΚΠΔ και την απόφαση «Schrems II» του ΔΕΕ σχετικά με τις διατλαντικές ροές δεδομένων.
• ΒΕΛΓΙΟ: Στο Βέλγιο, μια δημόσια αρχή είχε το δικαίωμα να επικαλεστεί το άρθρο 6(1)(ε) του ΓΚΠΔ για να εντοπίσει γεωγραφικά τα εταιρικά αυτοκίνητα των υπαλλήλων της, επειδή δεν υπήρχαν άλλες λιγότερο επεμβατικές λύσεις και η παρακολούθηση ήταν απαραίτητη για την αποτελεσματική χρήση των περιορισμένων πόρων της.

Στην περίπτωση αυτή, ωστόσο, ο υπεύθυνος επεξεργασίας δεδομένων δέχθηκε επίπληξη για αρκετές άλλες παραβιάσεις του κανονισμού.

• ΙΡΛΑΝΔΙΑ: Στην Τράπεζα της Ιρλανδίας επιβλήθηκε πρόστιμο 750.000 ευρώ. Η Αρχή Προστασίας Δεδομένων (DPA) διαπίστωσε ότι ο υπεύθυνος επεξεργασίας δεδομένων δεν είχε αξιολογήσει επαρκώς τους κινδύνους που σχετίζονται με την επεξεργασία ούτε είχε εφαρμόσει κατάλληλα μέτρα ασφαλείας.
• ΙΣΠΑΝΙΑ: Η Ισπανική Υπηρεσία Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 100.000 ευρώ στην Orange Spain για παραβίαση της αρχής της ελαχιστοποίησης των δεδομένων, απαιτώντας φωτογραφία του μπροστινού και του πίσω μέρους του εγγράφου ταυτότητας ενός πελάτη για την παράδοση ενός τηλεφώνου που αγοράστηκε ηλεκτρονικά.
• Στην Ισπανία, ωστόσο, ένας υπεύθυνος επεξεργασίας δεδομένων που δεν απαντά σε αίτημα πρόσβασης λόγω σφάλματος υπαλλήλου ευθύνεται για την παραβίαση του άρθρου 15 του ΓΚΠΔ.

 

• ΗΝΩΜΕΝΕΣ ΠΟΛΙΤΕΙΕΣ: Στις 25 Μαρτίου, η Ομοσπονδιακή Επιτροπή Εμπορίου δημοσίευσε ένα άρθρο στο ιστολόγιό της με τίτλο «Chatbots, deepfakes και κλώνοι φωνής» ή εξαπάτηση μέσω τεχνητής νοημοσύνης.

Η FTC επισημαίνει μια ανησυχητική αναδυόμενη απειλή την οποία πρέπει να αντιμετωπίσουν οι εταιρείες στο ψηφιακό οικοσύστημα.

Το γραφείο τεχνολογίας της FTC δημοσίευσε επίσης μια ανάλυση και οδηγίες σχετικά με τα pixel παρακολούθησης τρίτων, με βάση τις πρόσφατες αποφάσεις της σχετικά με τους παρόχους ψηφιακών υπηρεσιών υγείας.

• Το NIST (Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας) εγκαινιάζει ένα Κέντρο Πόρων για αξιόπιστη και υπεύθυνη τεχνητή νοημοσύνη.

Στόχος είναι η υποστήριξη των ενδιαφερόμενων μερών της Τεχνητής Νοημοσύνης στην ανάπτυξη αυτών των τεχνολογιών.

Συνοδεύεται από ένα πλαίσιο διαχείρισης κινδύνου και ένα Εγχειρίδιο Λειτουργίας και στοχεύει στην παροχή πρόσβασης σε ένα ευρύ φάσμα σχετικών πόρων επί του θέματος.

• ΝΟΤΙΑ ΚΟΡΕΑ: Η Επιτροπή Προστασίας Προσωπικών Δεδομένων της Νότιας Κορέας επέβαλε πρόστιμα στις McDonald's, British American Tobacco και Samsung για παραβιάσεις της ιδιωτικότητας.

Στην McDonald's επιβλήθηκε πρόστιμο 484.000 ευρώ για αποθήκευση αντιγράφων ασφαλείας αρχείων που σχετίζονται με χρήστες της υπηρεσίας McDelivery σε έναν διακομιστή που άφηνε ενεργοποιημένη την κοινή χρήση, γεγονός που επέτρεψε σε χάκερ να έχουν πρόσβαση στα δεδομένα 4.876.106 πελατών.

Σε ένα άλλο περιστατικό, κλάπηκαν τα δεδομένα 766.846 αγοραστών χάμπουργκερ, με αποτέλεσμα η εταιρεία να λάβει αρχικό πρόστιμο 7.000 ευρώ.

• ΑΛΓΕΡΙΑ: Ο νόμος αριθ. 18-07 σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα θα τεθεί σε ισχύ τον Αύγουστο του 2023.