Νομικό Περιοδικό Αρ. 58 – Απρίλιος 2023.

ChatGPT: Ποιο είναι το νομικό πλαίσιο για τις νέες εφαρμογές τεχνητής νοημοσύνης;

Τα ChatGPT, Google Bard, Stable Diffusion και Dall-E είναι Μεγάλα Γλωσσικά Μοντέλα (LLM) μια υποκατηγορία υπαρχόντων γλωσσικών μοντέλων.

Τα γλωσσικά μοντέλα είναι προγράμματα υπολογιστών που έχουν σχεδιαστεί για να επεξεργάζονται και να παράγουν κείμενο με τρόπο παρόμοιο με αυτόν που εφαρμόζει ένας άνθρωπος.

Περιλαμβάνουν, για παράδειγμα, την αναγνώριση ομιλίας, τη μηχανική μετάφραση, τη μετατροπή κειμένου σε ομιλία και τη δημιουργία περιεχομένου. Τα LLM είναι μεγαλύτερα και πιο πολύπλοκα από τα παραδοσιακά μοντέλα.

Εκπαιδεύονται σε πολύ μεγάλα σώματα κειμένων, που μερικές φορές αποτελούνται από εκατομμύρια σελίδες κειμένου, και χρησιμοποιούν αρχιτεκτονικές βαθέων νευρωνικών δικτύων για να μάθουν να επεξεργάζονται τη γλώσσα.

Ένα LLM μπορεί επομένως να παρέχει μια άπειρη ποικιλία περιεχομένου κατ' απαίτηση, είτε πρόκειται για ποίημα, σενάριο ταινίας, κώδικα προγραμματισμού υπολογιστή ή μουσική σύνθεση.

Ωστόσο, οι πληροφορίες δεν είναι ενημερωμένες: Το ChatGPT εκπαιδεύτηκε χρησιμοποιώντας πληροφορίες που ήταν διαθέσιμες στο διαδίκτυο έως το 2021.

Συνεπώς, είναι άσκοπο να του ζητήσουμε ενημέρωση σχετικά με τις μεταφορές δεδομένων προς τις Ηνωμένες Πολιτείες ή κάποιο σχόλιο σχετικά με την τελευταία κύρωση της CNIL.

Τα μεταπτυχιακά LLM εγείρουν πολλά νομικά και ηθικά ερωτήματα, ιδίως όσον αφορά τα πνευματικά δικαιώματα, την προστασία δεδομένων, την παραπληροφόρηση και τις διακρίσεις.

Τις τελευταίες εβδομάδες, πολλές ρυθμιστικές αρχές έχουν αρχίσει να αντιδρούν, η ιταλική αρχή προστασίας δεδομένων με επικεφαλής.

Στις 31 Μαρτίου, η τελευταία εξέδωσε εντολή κατά του OpenAI, μπλοκάροντας το ChatGPT στην Ιταλία επειδή 

• λόγω έλλειψης διαφάνειας στην εφαρμογή,
• λόγω έλλειψης νόμιμου λόγου επεξεργασίας,
• λόγω μη διασφάλισης της ακρίβειας των δεδομένων που υποβάλλονται σε επεξεργασία,
• η έλλειψη επαλήθευσης ηλικίας και
• της γενικής παραβίασης της αρχής της «ιδιωτικότητας εκ κατασκευής».

Ακολούθησε στενά η Γερμανία, η οποία άρχισε να εξετάζει τη συμμόρφωση του ChatGPT με τον ΓΚΠΔ: το κρατίδιο του Σλέσβιχ-Χόλσταϊν έστειλε στην OpenAI ένα ερωτηματολόγιο στο οποίο έπρεπε να απαντήσει πριν από τις 11 Ιουνίου.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ακολούθησε το παράδειγμα των εθνικών μελών του και συγκρότησε μια ομάδα εργασίας για το θέμα, και ο Ευρωπαϊκός Οργανισμός Καταναλωτών (BEUC) έγραψε στο δίκτυο των αρχών προστασίας των καταναλωτών και στο δίκτυο των αρχών ασφάλειας των καταναλωτών (δίκτυα CPC και CSN) ζητώντας τους να διερευνήσουν τα LLM.

Στην άλλη πλευρά του Ατλαντικού, η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) αναφέρει επίσης ότι οι υφιστάμενοι νόμοι των ΗΠΑ σε επίπεδο τομέα καλύπτουν την παραγωγική τεχνητή νοημοσύνη, ενώ παράλληλα προειδοποιεί τις εταιρείες να λαμβάνουν σοβαρά υπόψη τα συμφέροντα των καταναλωτών και τους κινδύνους που σχετίζονται με τις συνεχιζόμενες αναπτύξεις.

Μετά από αυτές τις έρευνες, η OpenAI έλαβε ορισμένα μέτρα:

• Εφαρμογή του δικαιώματος αντίταξης στην επεξεργασία δεδομένων.
• Επέκταση και βελτιωμένη ορατότητα της πολιτικής απορρήτου, πληροφορίες σχετικά με τις ενημερώσεις που έγιναν.
• Εφαρμογή μηχανισμών για τη διαγραφή ανακριβών πληροφοριών·
• Προστέθηκαν φόρμες που επιτρέπουν σε οποιονδήποτε Ευρωπαίο χρήστη να φιλτράρει τις συνομιλίες του και το ιστορικό των δεδομένων που χρησιμοποιούνται για την εκπαίδευση και τη βελτίωση των αλγορίθμων εκπαίδευσης
• Προστέθηκε η δυνατότητα εξαγωγής δεδομένων και επαλήθευσης αποθηκευμένων πληροφοριών.

Παρόλο που το ChatGPT είναι και πάλι προσβάσιμο στην Ιταλία, παραμένουν πολλά ερωτήματα.

Οι διασφαλίσεις που παρέχονται από την Open AI επιτρέπουν στα άτομα που χρησιμοποιούν την εφαρμογή να διορθώνουν ή να διαγράφουν τα δικά τους δεδομένα, αλλά δεν έχουν καμία επίπτωση στην επεξεργασία δεδομένων όλων όσων δεν χρησιμοποιούν την εφαρμογή, εγείροντας έτσι σοβαρές ανησυχίες για τη φήμη τους.

 Πρόσφατα, το ChatGPT κατηγόρησε έναν καθηγητή νομικής για σεξουαλική παρενόχληση, με την φερόμενη πηγή να είναι ένα άρθρο που δεν γράφτηκε ποτέ.

Είναι επίσης πιθανές φυλετικές ή εθνοτικές προκαταλήψεις. Το ChatGPT εκπαιδεύτηκε σε δεδομένα του διαδικτύου και, ως εκ τούτου, είναι πιθανό να αντικατοπτρίζει και να διαιωνίζει τις κοινωνικές προκαταλήψεις που υπάρχουν στο διαδίκτυο.

Ένας προγνωστικός αλγόριθμος που χρησιμοποιείται για τη λήψη ιατρικών αποφάσεων έχει έτσι λάβει μεροληπτικές αποφάσεις εις βάρος των μαύρων ασθενών.

Παρόλο που οι σχεδιαστές του αλγορίθμου απέκλεισαν τη φυλή ως κριτήριο μέτρησης κατά την εκτέλεση του συστήματος, ο αλγόριθμος συνέχισε να διαιωνίζει τις προκαταλήψεις κατά των μαύρων ασθενών λαμβάνοντας υπόψη ορισμένους οικονομικούς παράγοντες και το κόστος υγειονομικής περίθαλψης.

Τέλος, οι κίνδυνοι του κυβερνοεγκλήματος, όπως η παραγωγή πιο πειστικών email ηλεκτρονικού «ψαρέματος» (phishing) ή η εκμάθηση νέων τεχνικών επίθεσης, αυξάνονται, όπως επισημαίνεται στην έκθεση του Εθνικού Κέντρου Κυβερνοασφάλειας του Ηνωμένου Βασιλείου και της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC) στις ΗΠΑ.

Κάποιος θα μπορούσε να αναρωτηθεί γιατί οι σχεδιαστές του ChapGPT δεν ενσωμάτωσαν την προστασία δεδομένων από το στάδιο του σχεδιασμού της εφαρμογής του, αλλά κατά περίπτωση, με βάση τις αντιδράσεις των ρυθμιστικών αρχών.

Η ανοιχτή τεχνητή νοημοσύνη δεν είναι κάτι καινούργιο: βρίσκεται υπό ανάπτυξη από το 2016, με επικεφαλής έμπειρους συνιδρυτές, και έχει αποτελέσει αντικείμενο έξι γύρων χρηματοδότησης.

Η τρέχουσα αποτίμησή της ανέρχεται σε 29 δισεκατομμύρια δολάρια και τα εργαλεία της που βασίζονται στην τεχνητή νοημοσύνη είναι ενσωματωμένα σε προϊόντα που δεν βασίζονται στην τεχνητή νοημοσύνη και χρησιμοποιούνται καθημερινά από εκατομμύρια ανθρώπους μέσω συνεργασίας με τη Microsoft.

Οι αρχές της «προστασίας της ιδιωτικής ζωής εκ σχεδιασμού» δεν είναι μόνο επιθυμητές σε ένα τέτοιο πλαίσιο, αλλά αποτελούν αναπόσπαστο μέρος των απαιτήσεων του ΓΚΠΔ.

Η εφαρμογή τους θα πρέπει να ενισχυθεί περαιτέρω με την έγκριση του μελλοντικού ευρωπαϊκού κανονισμού για την Τεχνητή Νοημοσύνη, σύμφωνα με τον οποίο τα συστήματα που παρουσιάζουν υψηλούς κινδύνους θα πρέπει να συμμορφώνονται με ένα αυστηρότερο καθεστώς, συμπεριλαμβανομένων των απαιτήσεων για τη διαχείριση κινδύνων, τη διαφάνεια και τη διακυβέρνηση δεδομένων.

Η τελευταία έκδοση του κανονισμού που συζητήθηκε από τους ευρωβουλευτές απαιτεί επίσης όλα τα μοντέλα τεχνητής νοημοσύνης να συμμορφώνονται με τις αρχές της εποπτείας, της τεχνικής ευρωστίας και ασφάλειας, της προστασίας της ιδιωτικής ζωής, της διακυβέρνησης δεδομένων, της διαφάνειας, της κοινωνικής και περιβαλλοντικής ευημερίας, της ποικιλομορφίας, της μη διάκρισης και της δικαιοσύνης.

 

Και επίσης

URSSAF

Κατά τη διάρκεια του Σαββατοκύριακου της 1ης Μαΐου, Το Urssaf έκανε ένα σφάλμα υπολογιστή γεγονός που οδήγησε στη δημοσιοποίηση δεδομένων από αρκετές χιλιάδες αυτοαπασχολούμενους εργαζόμενους.

Ορισμένα μέλη ισχυρίζονται ότι έχουν λάβει έγγραφα που περιέχουν τα προγράμματα πληρωμών «δεκαοκτώ άλλων ατόμων» ή ακόμη και, στις πιο σημαντικές περιπτώσεις, «301 σελίδες προγραμμάτων πληρωμών της Urssaf που δεν με αφορούν».

Αυτά τα αρχεία περιέχουν ευαίσθητα προσωπικά στοιχεία, όπως στοιχεία τραπεζικού λογαριασμού, εισόδημα, διευθύνσεις ή πλήρεις ταυτότητες. 

Τα άτομα που επηρεάστηκαν από αυτά τα σφάλματα μετάδοσης, συνολικά 10.640 σύμφωνα με τα αρχικά ευρήματα της εσωτερικής έρευνας, θα πρέπει σύντομα να λάβουν ένα μήνυμα που θα τους ειδοποιεί σχετικά.

Η Urssaf ανέφερε την παραβίαση ασφαλείας στην CNIL.

ΚΗΦΗΝΑΣ

Από τις 19 Απριλίου, Οι αστυνομικοί και οι χωροφύλακες έχουν εξουσιοδότηση να βιντεοσκοπούν συγκεντρώσεις από τον ουρανό.

Αυτό συνέβη στο Σταντ ντε Φρανς, στη Μαγιότ, στη Χάβρη και κατά τη διάρκεια των διαδηλώσεων της Πρωτομαγιάς στο Παρίσι.

Ένα διάταγμα της Αστυνομικής Διεύθυνσης, με ημερομηνία 28 Απριλίου, επιτρέπει την υπέρπτηση των διαδηλωτών στην πρωτεύουσα με κάμερες που είναι ενσωματωμένες σε αυτά, για την αποτροπή «επιθέσεων κατά της ασφάλειας προσώπων και περιουσίας» και «για τη διατήρηση ή την αποκατάσταση της δημόσιας τάξης».

Αυτή είναι μία από τις πρώτες άδειες που εκδόθηκαν βάσει πρόσφατου διατάγματος του Υπουργείου Εσωτερικών στο πλαίσιο του νέου νόμου σχετικά με την ποινική ευθύνη και την εσωτερική ασφάλεια.

Η CNIL εξέδωσε δύο γνωμοδοτήσεις (τον Ιανουάριο και τον Ιούλιο του 2021) σχετικά με αυτές τις νέες νομικές διατάξεις και, σε αυτή την περίπτωση, ζήτησε αυστηρή ρύθμιση της χρήσης των drones, δεδομένων των κινδύνων παραβίασης των δημόσιων ελευθεριών και της ιδιωτικής ζωής των ατόμων.

ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ

Ο νόμος της 3ης Μαρτίου 2022, ο οποίος θα τεθεί σε ισχύ την 1η Οκτωβρίου 2023, εισάγει ένα πιστοποίηση κυβερνοασφάλειας για ψηφιακές πλατφόρμες που προορίζονται για το ευρύ κοινό.

Οι φορείς εκμετάλλευσης διαδικτυακών πλατφορμών και οι πάροχοι υπηρεσιών διαπροσωπικής επικοινωνίας που δεν βασίζονται σε αριθμούς θα πρέπει να διενεργήσουν έλεγχο κυβερνοασφάλειας που να καλύπτει την ασφάλεια και την τοποθεσία των δεδομένων που φιλοξενούν, καθώς και τη δική τους ασφάλεια.

Σύμφωνα με το σχέδιο διατάγματος για την εφαρμογή του cyberscore, οι διαδικασίες ελέγχου θα περιλαμβάνουν τη χρήση του πλαισίου αναφοράς SecNumCloud για την έκθεση δεδομένων σε εξωεδαφική νομοθεσία, την ευρωπαϊκή τοποθεσία των υποδομών φιλοξενίας και την εθνικότητα των υπεργολάβων.

CNIL

Το CNIL δημοσίευσε στις 3 Απριλίου ένα νέα έκδοση του οδηγού της σχετικά με την ασφάλεια των προσωπικών δεδομένων.

Η νέα έκδοση λαμβάνει υπόψη κυρίως τις τελευταίες συστάσεις της CNIL σχετικά με τους κωδικούς πρόσβασης και την καταγραφή.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ

• Μεταφορές δεδομένων μεταξύ ΕΕ και Ηνωμένων Πολιτειών Το ψήφισμα που εγκρίθηκε στις 13 Απριλίου από τα μέλη της Επιτροπής Πολιτικών Ελευθεριών θεωρεί ότι το πλαίσιο προστασίας δεδομένων που προτείνουν η ΕΕ και οι Ηνωμένες Πολιτείες αποτελεί «βελτίωση», αλλά ότι η πρόοδος δεν είναι «επαρκής» για να δικαιολογήσει μια απόφαση επάρκειας σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα.

Η επιτροπή σημειώνει ότι το πλαίσιο εξακολουθεί να επιτρέπει τη μαζική συλλογή προσωπικών δεδομένων σε ορισμένες περιπτώσεις και προβλέπει έναν μηχανισμό προσφυγής που ενδέχεται να μην είναι ανεξάρτητος (οι δικαστές θα μπορούσαν να απολυθούν από τον πρόεδρο των ΗΠΑ, ο οποίος θα μπορούσε επίσης να ανατρέψει τις αποφάσεις του).

Οι πολίτες της ΕΕ θα μπορούσαν επίσης να εμποδιστούν να ασκήσουν τα δικαιώματά τους για πρόσβαση και διόρθωση των δεδομένων τους, καθώς οι αποφάσεις θα παρέμεναν μυστικές.

Οι ευρωβουλευτές καλούν την Επιτροπή «να διασφαλίσει ότι το μελλοντικό πλαίσιο μπορεί να αντέξει τις νομικές προκλήσεις και να παρέχει ασφάλεια δικαίου στους πολίτες και τις επιχειρήσεις της ΕΕ».

• Τα μέλη του Ευρωπαϊκού Κοινοβουλίου ξεπέρασαν τις διαφορές τους στις 27 Απριλίου και κατέληξαν σε προσωρινή πολιτική συμφωνία σχετικά με το Κανονισμοί Τεχνητής Νοημοσύνης.

Το κείμενο θα περιλαμβάνει αυστηρότερες υποχρεώσεις σχετικά με τα LLM και το λογισμικό βιομετρικής αναγνώρισης: αρχικά απαγορευμένο σε πραγματικό χρόνο, αυτό το λογισμικό αναγνώρισης θα μπορεί να χρησιμοποιηθεί μόνο εκ των υστέρων για σοβαρά εγκλήματα και με προηγούμενη άδεια.

Το κείμενο ενδέχεται να υποστεί μικρές τεχνικές προσαρμογές πριν από μια κρίσιμη ψηφοφορία στην επιτροπή που έχει προγραμματιστεί για τις 11 Μαΐου και αναμένεται να ψηφιστεί στην ολομέλεια στα μέσα Ιουνίου.

• Στις 20 Απριλίου, οι ευρωβουλευτές ενέκριναν το πρώτο νομοθετικό κείμενο της ΕΕ για παρακολούθηση μεταφορών κρυπτονομισμάτων όπως bitcoin και ηλεκτρονικά νομίσματα.

Το κείμενο – το οποίο εγκρίθηκε προσωρινά από τους διαπραγματευτές του Κοινοβουλίου και του Συμβουλίου τον Ιούνιο του 2022 – στοχεύει να διασφαλίσει ότι οι μεταφορές κρυπτονομισμάτων, όπως και κάθε άλλη χρηματοοικονομική συναλλαγή, μπορούν πάντα να εντοπιστούν και οι ύποπτες συναλλαγές να αποκλειστούν.

Το Ευρωπαϊκό Κοινοβούλιο και τα κράτη μέλη της ΕΕ διαπραγματεύονται επί του παρόντος την Νόμος για την Ανθεκτικότητα στον Κυβερνοχώρο (CRA), ένας νέος κανονισμός που αποσκοπεί στην ενίσχυση της ψηφιακής ασφάλειας των συνδεδεμένων συσκευών στην ΕΕ.

Το ARC προτείνει απαιτήσεις ελέγχου και πιστοποίησης για τους κατασκευαστές λογισμικού και υλικού συνδεδεμένων συσκευών και προβλέπει μια ελάχιστη περίοδο κατά την οποία πρέπει να παρέχουν ενημερώσεις κώδικα ασφαλείας λογισμικού για τα προϊόντα τους.

 

ΕΣΠΔ

• Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δημοσίευσε στις 27 Απριλίου ένα Ένας οδηγός για τις ΜΜΕ, που περιγράφει λεπτομερώς τις αρχές που εφαρμόζονται κατά την επεξεργασία δεδομένων εργαζομένων, πελατών και επιχειρηματικών εταίρων.

Ο οδηγός εξηγεί επίσης τους βασικούς κανόνες ασφαλείας που πρέπει να ακολουθούνται και τον τρόπο διαχείρισης μιας παραβίασης προσωπικών δεδομένων.

• Το EDPB δημοσίευσε στις 19 Απριλίου ένα έκθεση σχετικά με τα αποτελέσματα του έργου της ομάδας εργασίας σχετικά με τις 101 καταγγελίες που υπέβαλε η ΜΚΟ NOYB μετά την απόφαση Schrems II του ΔΕΕ.

Αυτές οι καταγγελίες αφορούν τα εργαλεία «Google Analytics» και «Facebook Business Tools», καθώς και τη μεταφορά προσωπικών δεδομένων στις Ηνωμένες Πολιτείες.

Η έκθεση παρουσιάζει τις κοινές θέσεις της ομάδας εργασίας και περιέχει πληροφορίες σχετικά με τα αποτελέσματα των πρώτων σχετικών υποθέσεων.

Αρκετές αρχές προστασίας δεδομένων έχουν δώσει εντολή στους φορείς εκμετάλλευσης ιστοτόπων να σταματήσουν τις εν λόγω μεταφορές δεδομένων. 

• Στις 4 Απριλίου, το EDPB δημοσίευσε την τελική έκδοση του κατευθυντήριες γραμμές 9/2022 σχετικά με την κοινοποίηση παραβιάσεων προσωπικών δεδομένων.

 

CVRIA

• Το Δικαστήριο της Ευρωπαϊκής Ένωσης έκρινε, σε απόφαση της 4ης Μαΐου, ότι το δικαίωμα πρόσβασης του ενδιαφερομένου συνεπάγεται το δικαίωμα λήψης ολόκληρων εγγράφων ή αποσπασμάτων εγγράφων ή αποσπασμάτων βάσεων δεδομένων, εάν αυτό είναι απαραίτητο για να μπορέσει το ενδιαφερόμενο πρόσωπο να ασκήσει αποτελεσματικά το δικαίωμά του.

Στη συγκεκριμένη περίπτωση, η CRIF, μια εταιρεία που ειδικεύεται σε εμπορικές πληροφορίες, είχε παράσχει στον καταγγέλλοντα μια συνοπτική έκδοση των δεδομένων της.

• Το ΔΕΕ αποφάνθηκε επίσης για πρώτη φορά σχετικά με την επιδίκαση ηθικής βλάβης βάσει του ΓΚΠΔ.

Παρόλο που το Δικαστήριο επιβεβαιώνει στην απόφασή του της 4ης Μαΐου ότι ο ΓΚΠΔ δεν απαιτεί «όριο» για την αξίωση αποζημίωσης, υπενθυμίζει ωστόσο ότι πρέπει να υπάρχει παραβίαση, αποζημιώσεις και αιτιώδης συνάφεια, και ότι δεν υπάρχει αξίωση χωρίς πραγματική ζημία.

Η υπόθεση ξεκίνησε όταν η αυστριακή ταχυδρομική υπηρεσία παρήγαγε στατιστικά στοιχεία σχετικά με τις πιθανές πολιτικές πεποιθήσεις εκατομμυρίων ανθρώπων.

Στον καταγγέλλοντα είχε ανατεθεί πιθανό συμφέρον σε ακροδεξιό κόμμα, αλλά δεν ήταν βέβαιο ότι αυτές οι πληροφορίες είχαν αποκαλυφθεί σε τρίτο μέρος, επειδή βρισκόταν σε λίστα αποκλεισμού από ταχυδρομικές διαφημίσεις.

• Σε παρόμοιο πλαίσιο, ο Γενικός Εισαγγελέας του ΔΕΕ εξέδωσε τη γνωμοδότησή του στις 27 Απριλίου σχετικά με το ακόλουθο ερώτημα: μπορεί η παράνομη διάδοση δεδομένων προσωπικού χαρακτήρα που κατέχει η Εθνική Υπηρεσία Εσόδων της Βουλγαρίας, μετά από ηλεκτρονική παραβίαση, να οδηγήσει σε αποζημίωση για ηθική βλάβη υπέρ του ενδιαφερομένου, απλώς και μόνο επειδή ο τελευταίος φοβάται πιθανή κακή χρήση των δεδομένων του;

Σύμφωνα με τη Γενική Συνέλευση, η ηθική βλάβη, όπως ορίζεται στο Άρθρο 82 του ΓΚΠΔ, δεν πρέπει να συγχέεται με απλές ταλαιπωρίες.

Οι αποζημιώσεις πρέπει να μπορούν να αποδειχθούν αντικειμενικά και να μην εξαρτώνται αποκλειστικά από την υποκειμενική εκπροσώπηση του ενάγοντος.

 

Εθνικά νέα

• ΙΤΑΛΙΑ: Στις 2 Μαρτίου, η Ιταλική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 5.000 ευρώ σε έναν υπεύθυνο επεξεργασίας δεδομένων για την αποστολή ανεπιθύμητων εμπορικών επικοινωνιών σε διευθύνσεις ηλεκτρονικού ταχυδρομείου που δημιουργήθηκαν από λογισμικό μέσω του αυτόματου συνδυασμού δεδομένων που συλλέχθηκαν στο διαδίκτυο.
• ΑΥΣΤΡΙΑ: Μετά από καταγγελία που υπέβαλε η noyb, η Αυστριακή Αρχή Προστασίας Δεδομένων (APD) δήλωσε στις 29 Μαρτίου ότι ένα banner cookie με την ένδειξη "αποδοχή ή πληρωμή" στον ιστότοπο μιας εφημερίδας δεν συμμορφωνόταν με τον ΓΚΠΔ, δεδομένων των απαιτήσεων για την ακρίβεια της συγκατάθεσης.
• ΟΛΛΑΝΔΙΑ: Στις 4 Απριλίου, ένα ολλανδικό εφετείο διέταξε την Uber να παρέχει στους οδηγούς πρόσβαση στα προσωπικά τους δεδομένα και εξηγήσεις σχετικά με την αυτοματοποιημένη λήψη αποφάσεων. Το δικαστήριο επέβαλε επίσης πρόστιμο 4.000 ευρώ την ημέρα στον υπεύθυνο επεξεργασίας δεδομένων.
• ΙΣΠΑΝΙΑ: Η καταλανική αρχή προστασίας δεδομένων έκρινε δυσανάλογη τη χρήση συστημάτων αναγνώρισης προσώπου για την πρόληψη της απάτης στις διαδικτυακές πανεπιστημιακές εξετάσεις. Επέβαλε πρόστιμο 20.000 ευρώ στον υπεύθυνο επεξεργασίας δεδομένων για παραβίαση των άρθρων 5(1)(α) και 9 του ΓΚΠΔ.
• ΗΝΩΜΕΝΟ ΒΑΣΙΛΕΙΟ: Σχεδόν 50 Βρετανοί βουλευτές απέστειλαν επιστολή στην εταιρεία που κατέχει τα καταστήματα House of Fraser και Sports Direct, καταδικάζοντας τη χρήση καμερών αναγνώρισης προσώπου στα καταστήματα του ομίλου.

Περιγράφοντας την τεχνολογία ως «επεμβατική και μεροληπτική», οι βουλευτές κάλεσαν την ομάδα να τερματίσει τη χρήση αυτών των καμερών σε εθνικό επίπεδο.

• Στις 4 Απριλίου, η Αρχή Προστασίας Δεδομένων του Ηνωμένου Βασιλείου (DPA) ξεκίνησε έρευνα κατά του TikTok και του επέβαλε πρόστιμο 12.700.000 λιρών για κακή χρήση δεδομένων παιδιών.
• Ο πρόεδρος της Signal, της εφαρμογής κρυπτογραφημένων μηνυμάτων, εξέφρασε ανησυχίες σχετικά με την πρόταση της βρετανικής κυβέρνησης για την ασφάλεια στο διαδίκτυο, η οποία θα μπορούσε να αποδυναμώσει την κρυπτογράφηση και να αναγκάσει τις εταιρείες να σαρώνουν κρυπτογραφημένα μηνύματα για παράνομο περιεχόμενο.

Η Meredith Whittaker υποδεικνύει ότι η Signal θα μπορούσε να εγκαταλείψει το Ηνωμένο Βασίλειο εάν συμβεί αυτό. Παρόμοιες ανησυχίες έχουν εκφράσει και άλλες εταιρείες ανταλλαγής μηνυμάτων, όπως η WhatsApp και η Element.

 

• ΒΙΕΤΝΑΜ: Στις 17 Απριλίου 2023, η κυβέρνηση του Βιετνάμ δημοσίευσε το Διάταγμα αριθ. 13/2023/ND για την Προστασία των Προσωπικών Δεδομένων («PDPD»), το οποίο αποτελεί το πρώτο ολοκληρωμένο έγγραφο που διέπει την προστασία των προσωπικών δεδομένων στη χώρα.
• ΤΑΝΖΑΝΙΑ: Ο νέος νόμος για την προστασία των προσωπικών δεδομένων τέθηκε σε ισχύ την 1η Μαΐου.
• CBPR: Στις 17 Απριλίου, το Ηνωμένο Βασίλειο υπέβαλε αίτηση ένταξης στην ομάδα χωρών που τηρούν τους Κανόνες Διασυνοριακής Ασφάλειας (CBPR), η οποία περιλαμβάνει επί του παρόντος την Αυστραλία, τον Καναδά, την Ιαπωνία, τη Δημοκρατία της Κορέας, το Μεξικό, τις Φιλιππίνες, τη Σιγκαπούρη, την Κινεζική Ταϊπέι και τις Ηνωμένες Πολιτείες. Ο CBPR, που θεσπίστηκε από το Υπουργείο Εμπορίου των ΗΠΑ, επιτρέπει σε οποιαδήποτε δικαιοδοσία να υποβάλει αίτηση για καθεστώς συνεργάτη και να επωφεληθεί από την ελεύθερη ανταλλαγή δεδομένων με τις συμμετέχουσες χώρες, υπό την προϋπόθεση ότι διαθέτει νόμους που προστατεύουν τα προσωπικά δεδομένα και διαθέτει «τουλάχιστον μία δημόσια υπηρεσία υπεύθυνη για την επιβολή του/των νόμου/ων ή/και του/των κανονισμού/ων».
• IAPP:Ένα infographic από τη Διεθνή Ένωση Επαγγελματιών Ιδιωτικού Απορρήτου (IAPP) παραθέτει τις δικαιοδοσίες που δίνουν σε μια DPA ή σε μια κυβερνητική αρχή την εξουσία να ορίζει άλλες δικαιοδοσίες ως έχουσες «επαρκή» πρότυπα απορρήτου.

Θα συμπληρωθεί από ένα ακόμη infographic που θα περιγράφει λεπτομερώς τους μηχανισμούς και τις κατευθυντήριες γραμμές που ρυθμίζουν τις διαβιβάσεις ανάλογα με τις δικαιοδοσίες (συμβατικές ρήτρες, συγκατάθεση κ.λπ.).