Νομικό Περιοδικό Αρ. 64 – Οκτώβριος 2023.

Κρυπτογράφηση και κερκόπορτες: από τεχνικούς περιορισμούς έως κοινωνικές προκλήσεις.

Τα τρέχοντα γεγονότα στη Γαλλία απηχούν την τρέχουσα συζήτηση που συγκλονίζει την Ευρώπη, δηλαδή την πρόσβαση των αρχών επιβολής του νόμου στο περιεχόμενο κρυπτογραφημένων μηνυμάτων.

Ο Υπουργός Εσωτερικών, σχολιάζοντας στο ραδιόφωνο την πρόσφατη επίθεση στο λύκειο Arras, εξέφρασε στις 22 Οκτωβρίου την επιθυμία να ενσωματωθεί μια «κερκόπορτα» στα κρυπτογραφημένα συστήματα ανταλλαγής μηνυμάτων από άκρο σε άκρο, η οποία θα επέτρεπε την παράκαμψη της κρυπτογράφησης των μηνυμάτων και την πρόσβαση στο περιεχόμενό τους.

Σύμφωνα με τον υπουργό, αυτή η τεχνική αποτελεί μια πιο αποτελεσματική εναλλακτική λύση σε σχέση με τις τρέχουσες λύσεις, οι οποίες περιλαμβάνουν την εισβολή των υπηρεσιών πληροφοριών στο τηλέφωνο του υπόπτου για την εγκατάσταση, για παράδειγμα, λογισμικού κατασκοπείας.

Αυτή η πρακτική, που ρυθμιζόταν αυστηρά από το νόμο, είχε αποτύχει κατά την παρακολούθηση του τρομοκράτη που πραγματοποίησε την επίθεση.

Στις μέρες μας γίνεται πολύς λόγος για «σάρωση από την πλευρά του πελάτη», μια τεχνική διαφορετική από αυτήν της υποκλοπής μηνυμάτων («άνθρωπος στη μέση» - HDM).

Ένας ειδικός, μιλώντας σε σεμινάριο που διοργάνωσε η Ευρωπαία επόπτρια προστασίας δεδομένων στις 23 Οκτωβρίου, περιέγραψε αυτές τις τεχνικές ως εξής: ο «άνθρωπος στη μέση» αναχαιτίζει μηνύματα κατά τη μετάδοσή τους, ενώ η «σάρωση από την πλευρά του πελάτη» συνίσταται, μεταφορικά μιλώντας, στην ανάγνωση πάνω από τον ώμο του ατόμου ενώ γράφει – πριν από την κρυπτογράφηση – για να συγκρίνει το μήνυμά του με το περιεχόμενο μιας μη αποδεκτής βάσης δεδομένων.

Αυτή είναι μια μορφή εποπτείας περιεχομένου, η οποία πραγματοποιείται στο τερματικό του χρήστη.

Δύο πρωτοβουλίες που αποσκοπούν στη συστηματική χρήση της σάρωσης από την πλευρά του πελάτη αποτελούν επί του παρόντος αντικείμενο έντονων αντιδράσεων στις Βρυξέλλες και το Λονδίνο, λόγω του παρεμβατικού τους χαρακτήρα.

Σε ευρωπαϊκό επίπεδο, η πρόταση κανονισμού για τις CSAM είναι αυτή που δέχεται τις περισσότερες επικρίσεις.

Το κείμενο στοχεύει στην καταπολέμηση της διαδικτυακής παιδικής πορνογραφίας μέσω του εντοπισμού της διάδοσης παράνομου περιεχομένου.

Ενώ υπάρχει συναίνεση σχετικά με την ύψιστη σημασία αυτού του στόχου, πολλά ενδιαφερόμενα μέρη αμφισβητούν την αποτελεσματικότητα, την αναγκαιότητα και την αναλογικότητα των προτεινόμενων μέτρων.

Σοβαρές ανησυχίες έχουν εκφραστεί από τις αρχές προστασίας δεδομένων της ΕΕ, εμπειρογνώμονες από ευρωπαϊκά θεσμικά όργανα, καθώς και από οργανισμούς προστασίας παιδιών, ακαδημαϊκούς, ειδικούς στον κυβερνοχώρο και θύματα σεξουαλικής κακοποίησης παιδιών.

Πέρα από τον κίνδυνο να κατακλύσουν τις αρχές επιβολής του νόμου με ψευδώς θετικά αποτελέσματα, οι επικριτές του φοβούνται ότι θα γίνει ένα βήμα πολύ μακριά προς μια κοινωνία όπου ο καθένας από εμάς θα ζει με το αίσθημα συνεχούς επιτήρησης.

Για περισσότερους από εκατό κορυφαίους ερευνητές σε αυτόν τον τομέα, είναι τελικά τεχνικά αδύνατο να εφαρμοστεί η σάρωση περιεχομένου χωρίς να αποδυναμωθεί η κρυπτογράφηση από άκρο σε άκρο και να παραβιαστεί το απόρρητο των χρηστών.

Πολλοί ειδικοί συμφωνούν ότι οι τρέχουσες τεχνολογικές λύσεις αιχμής δεν είναι αρκετά αξιόπιστες και είναι επίσης ευάλωτες σε κυβερνοεπιθέσεις.

Αυτό είναι επίσης το συμπέρασμα στο οποίο κατέληξε η Apple, η οποία ανακοίνωσε αυτό το καλοκαίρι ότι εγκαταλείπει το έργο αλγορίθμου της, και η Meredith Whittaker, πρόεδρος της υπηρεσίας ανταλλαγής μηνυμάτων Signal: «Αν η αστυνομία μπορεί να παρέμβει, μπορούν και οι χάκερ, οι εχθρικές χώρες, ο Πούτιν, η ιρανική κυβέρνηση και όποιος θέλει να κάνει κακό (...). Επομένως, είναι απαραίτητο να διατηρήσουμε την ασφάλεια και την ακεραιότητα αυτών των συστημάτων».

Από αυτή την άποψη, η βρετανική κυβέρνηση φάνηκε να έχει μαλακώσει τη στάση της σχετικά με τον νέο νόμο της, που δημοσιεύθηκε στις 26 Οκτωβρίου, για την ασφάλεια στο διαδίκτυο («Νομοσχέδιο για την Ασφάλεια στο Διαδίκτυο»).

Οι υπουργοί, ωστόσο, δεν αφαίρεσαν την αμφιλεγόμενη ρήτρα παρακολούθησης, αλλά έθεσαν την εφαρμογή της υπό την προϋπόθεση της τεχνικής της σκοπιμότητας.

Η ρυθμιστική αρχή τεχνολογίας του Ηνωμένου Βασιλείου (Ofcom) διατηρεί την εξουσία να απαιτεί από τις εταιρείες τεχνολογίας να αναπτύσσουν λογισμικό σάρωσης σύμφωνα με την εξελισσόμενη τεχνολογία.

Εάν αυτή η τεχνολογία καταστεί διαθέσιμη, μένει να δούμε πώς θα αξιολογηθεί η ισορροπία μεταξύ των κατασταλτικών στόχων των αρχών και της ιδιωτικότητας των ατόμων.

 

• Στις 12 Οκτωβρίου, η CNIL επέβαλε πρόστιμο 600.000 ευρώ στον Όμιλο CANAL+.

Το πρόστιμο αφορά ιδίως παραβιάσεις της υποχρέωσης παροχής πληροφοριών, την άσκηση δικαιωμάτων από τα εμπλεκόμενα πρόσωπα, ζητήματα ασφαλείας σχετικά με τους κωδικούς πρόσβασης των εργαζομένων της εταιρείας, την υπεργολαβία και το γεγονός ότι η εταιρεία δεν ενημέρωσε την CNIL για σοβαρή παραβίαση προσωπικών δεδομένων που έλαβε χώρα το 2020.

• Το CNIL διοργανώνει μια εκδήλωση ηθικού προβληματισμού στις 28 Νοεμβρίου με τίτλο «Τεχνητή Νοημοσύνη και ελεύθερη βούληση: είμαστε ψηφιακά πρόβατα;»

Ερευνητές, ειδικοί και εικαστικοί καλλιτέχνες θα ανταλλάξουν απόψεις για σημαντικά ηθικά ζητήματα που αφορούν την επίδραση της τεχνητής νοημοσύνης στις ατομικές επιλογές.

• Επίσης, σχετικά με το θέμα της Τεχνητής Νοημοσύνης, το CNIL δημοσίευσε στις 11 Οκτωβρίου πρακτικούς οδηγούς σχετικά με τη δημιουργία βάσεων δεδομένων εκπαίδευσης για συστήματα Τεχνητής Νοημοσύνης.

Αυτά τα ενημερωτικά δελτία στοχεύουν να βοηθήσουν τους επαγγελματίες να συμβιβάσουν την καινοτομία με τον σεβασμό των ατομικών δικαιωμάτων. Είναι ανοιχτά για δημόσια διαβούλευση έως τις 16 Νοεμβρίου 2023.

• Η ΜΚΟ noyb υπέβαλε τρεις καταγγελίες στη Γαλλία στις 14 Σεπτεμβρίου κατά της Fnac, της εφαρμογής ακινήτων SeLoger και της εφαρμογής γυμναστικής MyFitnessPal.

Οι εφαρμογές αυτών των εταιρειών θα έχουν παράνομη πρόσβαση σε προσωπικά δεδομένα χρηστών και θα τα κοινοποιούν σε τρίτους για σκοπούς εξελιγμένης ανάλυσης αμέσως μόλις ανοίξει η εφαρμογή, χωρίς να έχουν ενημερώσει ή λάβει τη συγκατάθεση των εν λόγω ατόμων.

Η ΜΚΟ σχεδιάζει να υποβάλει περαιτέρω καταγγελίες κατά εταιρειών εφαρμογών για κινητά.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

• Μετά την έναρξη έρευνας σχετικά με τη συμμόρφωση του X με τον Κανονισμό Ψηφιακών Υπηρεσιών (DSA) στις 12 Οκτωβρίου, η Ευρωπαϊκή Επιτροπή εξετάζει επίσης το Meta και το TikTok.

Σύμφωνα με πληροφορίες, οι εταιρείες κοινωνικής δικτύωσης έχουν λάβει επίσημα αιτήματα για πληροφορίες σχετικά με τον χειρισμό παράνομου περιεχομένου και παραπληροφόρησης από την έναρξη του πολέμου μεταξύ Ισραήλ και Χαμάς.

• Κάποιοι επικρίνουν την Ευρωπαϊκή Επιτροπή για μη τήρηση των δικών της κανόνων σχετικά με τη μικροστόχευση στα κοινωνικά δίκτυα.

Σήμερα, κατηγορείται από τον Τύπο, τις ΜΚΟ και τους Ευρωπαίους βουλευτές ότι στοχοποίησε συγκεκριμένα προφίλ χρηστών του Διαδικτύου στην επικοινωνία της με κοινό που βρίσκεται σε χώρες που είναι επιφυλακτικά απέναντι στην προτεινόμενη ρύθμισή της για την παιδική πορνογραφία (CSAM).

• Τον Σεπτέμβριο του 2023, η Ευρωπαϊκή Επιτροπή δημοσίευσε δύο πρότυπες συμβατικές ρήτρες για την Τεχνητή Νοημοσύνη που μπορούν να χρησιμοποιηθούν σε εθελοντική βάση στις δημόσιες συμβάσεις τεχνητής νοημοσύνης, για επεξεργασία με ή χωρίς υψηλούς κινδύνους.

Οι ρήτρες απευθύνονται σε δημόσιους φορείς που επιθυμούν να αποκτήσουν ένα σύστημα τεχνητής νοημοσύνης που έχει αναπτυχθεί από εξωτερικό προμηθευτή.

• Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) δημοσίευσε στις 23 Οκτωβρίου συστάσεις προς τους συννομοθέτες της ΕΕ για τους τριμερείς διαλόγους σχετικά με τον κανονισμό για την τεχνητή νοημοσύνη.

Συγκεκριμένα, υποστηρίζει την ένταξη στον κανονισμό του δικαιώματος των προσώπων που επηρεάζονται από τη χρήση συστημάτων τεχνητής νοημοσύνης να υποβάλλουν καταγγελία σε αρμόδια αρχή και να επωφελούνται από αποτελεσματική δικαστική προσφυγή κατά των αποφάσεών της.

Επαναλαμβάνει περαιτέρω την έκκλησή του για τον ορισμό των αρχών προστασίας δεδομένων ως εθνικών εποπτικών αρχών.

Υποστηρίζει επίσης την ανάγκη για μια ευρωπαϊκή προσέγγιση, ιδίως σε διασυνοριακές υποθέσεις με σημαντικό αντίκτυπο, και την πρόταση για την ίδρυση ενός «ευρωπαϊκού γραφείου τεχνητής νοημοσύνης» που υπέβαλε το Ευρωπαϊκό Κοινοβούλιο.

• Ο ΕΕΠΔ εξέδωσε επίσης γνώμη στις 11 Οκτωβρίου σχετικά με δύο προτεινόμενες κατευθυντήριες γραμμές σχετικά με τους κανόνες ευθύνης για την τεχνητή νοημοσύνη.
• Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) και ο ΕΕΠΔ ενέκριναν στις 19 Σεπτεμβρίου κοινή γνώμη σχετικά με την πρόταση κανονισμού σχετικά με πρόσθετους διαδικαστικούς κανόνες για την εφαρμογή του ΓΚΠΔ.

Η παρούσα πρόταση αποσκοπεί στη διασφάλιση της εφαρμογής ταχέων διορθωτικών μέτρων για τα άτομα σε διασυνοριακές υποθέσεις.

Το ΕΣΠΔ και ο ΕΕΠΔ ζητούν πλήρη εναρμόνιση των απαιτήσεων παραδεκτού, προτείνουν τη βελτίωση της επίτευξης συναίνεσης μέσω της μεγαλύτερης συμμετοχής των αρμόδιων εποπτικών αρχών και καλούν τους συννομοθέτες να διατηρήσουν την τρέχουσα προσέγγιση όσον αφορά το δικαίωμα ακρόασης των μερών στη διαδικασία επίλυσης διαφορών.

• Το ΕΣΠΔ και ο ΕΕΠΔ εξέδωσαν κοινή γνώμη σχετικά με την πρόταση κανονισμού για το ψηφιακό ευρώ στις 17 Οκτωβρίου.

Οι ρυθμιστικές αρχές εγκρίνουν ιδιαίτερα τη διατήρηση της επιλογής για τους χρήστες να πληρώνουν σε ψηφιακά ευρώ ή σε μετρητά.

Ωστόσο, διατυπώνουν ορισμένες παρατηρήσεις, προκειμένου να διασφαλιστεί ότι υποβάλλονται σε επεξεργασία μόνο τα απαραίτητα προσωπικά δεδομένα, ιδίως στο πλαίσιο της καταπολέμησης της απάτης, και να αποφευχθεί η υπερβολική συγκέντρωση προσωπικών δεδομένων από την Ευρωπαϊκή Κεντρική Τράπεζα ή τις εθνικές κεντρικές τράπεζες.

• Κατά τη διάρκεια της ολομέλειάς του τον Οκτώβριο, το EDPB επέλεξε το θέμα για την τρίτη συντονισμένη δράση εφαρμογής του ΓΚΠΔ: πώς οι εταιρείες εφαρμόζουν το δικαίωμα πρόσβασης των φυσικών προσώπων.

Η δράση αυτή έχει προγραμματιστεί για το 2024 και θα υπόκειται σε στοχευμένη παρακολούθηση σε εθνικό και ευρωπαϊκό επίπεδο.

• Στις 31 Οκτωβρίου, η Νορβηγική Αρχή Προστασίας Δεδομένων (DPA) εξέδωσε δήλωση στην οποία ανέφερε ότι η απόφασή της κατά του Meta θα επεκταθεί στην ΕΕ/ΕΟΧ.

Το δελτίο τύπου αναφέρει ότι το EDPB μόλις ενέκρινε την μόνιμη επέκταση της νορβηγικής απαγόρευσης του συμπεριφορικού μάρκετινγκ στο Facebook και το Instagram σε ολόκληρη την Ευρώπη.

• Μετά τις αποκαλύψεις και την έρευνα του Ευρωπαϊκού Κοινοβουλίου για το κατασκοπευτικό λογισμικό Pegasus, μια έκθεση της Διεθνούς Αμνηστίας και των Ευρωπαϊκών Ερευνητικών Συνεργασιών (EIC) εξετάζει την υπόθεση Predator και υπογραμμίζει την αδυναμία της ΕΕ να ρυθμίσει την κατάχρηση του κατασκοπευτικού λογισμικού στην επικράτειά της.

Η έκθεση επικεντρώνεται σε μια ομάδα που ονομάζεται Intellexa Alliance, με έδρα την Ευρώπη, η οποία «ανέπτυξε, λειτούργησε και διέθεσε στην αγορά» μια «σουίτα προϊόντων παρακολούθησης» μεταξύ 2007 και 2022. 

Αυτά τα προϊόντα καθιστούν δυνατή την αποστολή σιωπηλών προσπαθειών μόλυνσης σε χρήστες συνεργαζόμενων παρόχων υπηρεσιών διαδικτύου ή σε ολόκληρη τη χώρα, εάν ο χειριστής του spyware έχει άμεση πρόσβαση στην κίνηση στο διαδίκτυο.

• Στις 6 Σεπτεμβρίου, εκπρόσωποι της Ευρωπαϊκής Φαρμακευτικής Βιομηχανίας (EPFIA) αντιτάχθηκαν στην εισαγωγή ενός μηχανισμού εξαίρεσης (opt-out) για τη συλλογή δεδομένων υγείας για δευτερογενή χρήση στον προτεινόμενο κανονισμό για τον μελλοντικό Ευρωπαϊκό Χώρο Δεδομένων Υγείας (EHDS).

Η θέση της ομάδας αντικατοπτρίζει τις ανησυχίες των ερευνητών και των σχεδιαστών τεχνολογίας, οι οποίοι φοβούνται ότι η εισαγωγή της δυνατότητας εξαίρεσης (opt-out) στο σύστημα θα θέσει σε κίνδυνο τη χρήση δεδομένων για έρευνα και καινοτομία.

• Σε δελτίο τύπου με ημερομηνία 5 Σεπτεμβρίου 2023, το TikTok ανακοίνωσε ότι ενισχύει την προστασία δεδομένων των Ευρωπαίων χρηστών του.

Η εταιρεία σχεδιάζει δύο νέα κέντρα δεδομένων στην Ευρώπη, εκτός από αυτό στο Δουβλίνο.

Η TikTok έχει επίσης προσλάβει μια τρίτη ευρωπαϊκή εταιρεία ασφαλείας για να διεξάγει ανεξάρτητο έλεγχο της επεξεργασίας δεδομένων της.

 

Νέα από τις χώρες μέλη της Ευρώπης.

• Η Βελγική Αρχή Προστασίας Δεδομένων (APD) δημοσίευσε μια λίστα ελέγχου στις 20 Οκτωβρίου για να βοηθήσει τους οργανισμούς να διασφαλίσουν ότι οι πρακτικές τους σχετικά με τα cookies και άλλους μηχανισμούς παρακολούθησης συμμορφώνονται με τους ισχύοντες κανονισμούς.

Το έγγραφο σάς επιτρέπει να εξετάσετε βήμα προς βήμα τις καλές και τις κακές πρακτικές.

Η APD μας υπενθυμίζει ότι μόνο τα απολύτως απαραίτητα cookies εξαιρούνται από την απαίτηση συγκατάθεσης και ότι όλες οι άλλες κατηγορίες cookies μπορούν να τοποθετηθούν και να διαβαστούν μόνο εάν ο χρήστης έχει δώσει προηγούμενη, ελεύθερη, συγκεκριμένη, ενημερωμένη, σαφή και ενεργή συγκατάθεση.

• Το Περιφερειακό Δικαστήριο του Άμστερνταμ εξέδωσε μια σημαντική απόφαση στις 18 Οκτωβρίου σε συνοπτική διαδικασία σχετικά με την AdTech και τα cookies παρακολούθησης.

Η γαλλική εταιρεία Criteo δεν μπορεί απλώς να επικαλεστεί τη συμβατική υποχρέωση των πελατών της (εκδοτών ιστοσελίδων) να λάβει τη συγκατάθεση των χρηστών του διαδικτύου: είναι επίσης υπεύθυνη για την απόκτηση έγκυρης συγκατάθεσης για την τοποθέτηση cookies, ελλείψει της οποίας (και ελλείψει της συγκατάθεσης που λαμβάνει ο εκδότης), η τοποθέτηση cookies είναι παράνομη.

Η απόφαση βασίζεται στη Σύμβαση Ρώμης II (δικαιοδοσία του Δικαστηρίου), στην Οδηγία «ηλεκτρονικής Προστασίας Προσωπικών Δεδομένων» και στον ΓΚΠΔ.

Το δικαστήριο αναγνωρίζει την απόφαση της CNIL και απορρίπτει την υπεράσπιση της Criteo ότι ο ενάγων δεν είχε ρυθμίσει το πρόγραμμα περιήγησής του ώστε να απορρίπτει τα cookies.

Απορρίπτει επίσης το επιχείρημα ότι οι απαιτήσεις του ενάγοντος θα έβλαπταν το επιχειρηματικό του μοντέλο, λαμβάνοντας υπόψη ότι υπερισχύουν τα συμφέροντα απορρήτου του ενάγοντος.

Το δικαστήριο εφαρμόζει περαιτέρω την απόφαση του Δικαστηρίου στην υπόθεση Österreichische Post (C-154/21), αποφασίζοντας ότι η Criteo οφείλει να παρέχει πλήρη επισκόπηση των τρίτων με τα οποία έχουν κοινοποιηθεί τα δεδομένα.

• Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε πρόστιμο 50.000 ευρώ στον Οργανισμό Αστικών Συγκοινωνιών Αθηνών (ΟΑΣΑ) για παραβίαση του άρθρου 5(1)(ε) του ΓΚΠΔ, επειδή το ηλεκτρονικό σύστημα έκδοσης εισιτηρίων του δεν συμμορφωνόταν με την αρχή του περιορισμού αποθήκευσης.

Επιπλέον, επέπληξε τον ΟΑΣΑ για παραβίαση του άρθρου 35(1) του ΓΚΠΔ, καθώς η εκτίμηση επιπτώσεων στην προστασία δεδομένων για το ηλεκτρονικό σύστημα έκδοσης εισιτηρίων ήταν ανεπαρκής.

• Η Σουηδική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 800.000 σουηδικών κορωνών (περίπου 68.324 ευρώ) στο Συμβούλιο Παιδείας της Στοκχόλμης για χρήση καμερών παρακολούθησης σε σχολείο κατά παράβαση του άρθρου 5(1)(α), (γ), του άρθρου 6(1) και του άρθρου 13 του ΓΚΠΔ.
• Η Ιταλική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 20.000 ευρώ σε έναν ιταλικό δικηγορικό σύλλογο για δημοσίευση πληροφοριών στον ιστότοπό του σχετικά με δύο καταγγέλλοντες χωρίς νόμιμη νομική βάση, σύμφωνα με τις συνδυασμένες διατάξεις του άρθρου 10 του ΓΚΠΔ και του άρθρου 2οκτίες του Ιταλικού Κώδικα Προστασίας Δεδομένων.
• Η Κροατική Αρχή Προστασίας Δεδομένων (APD) επέβαλε το υψηλότερο διοικητικό πρόστιμο που έχει επιβληθεί ποτέ, ύψους 5.470.000 ευρώ, στην EOS Matrix doo, μια εταιρεία είσπραξης οφειλών, για πολλαπλές παραβιάσεις του ΓΚΠΔ.
• Στο Ηνωμένο Βασίλειο, η Clearview AI κέρδισε την έφεσή της κατά του προστίμου που της επιβλήθηκε από την Αρχή Προστασίας Δεδομένων του Ηνωμένου Βασιλείου (DPA) ενώπιον του Πρωτοβάθμιου Δικαστηρίου (FTT).

Το δικαστήριο έκρινε ότι ο «ΓΚΠΔ του Ηνωμένου Βασιλείου» δεν εφαρμόζεται, υποστηρίζοντας ότι οι δραστηριότητες επεξεργασίας της Clearview αφορούσαν την εκτέλεση υπηρεσίας για λογαριασμό υπηρεσιών επιβολής του νόμου που βρίσκονται σε τρίτη χώρα, εκτός του πεδίου εφαρμογής του ΓΚΠΔ και του «ΓΚΠΔ του Ηνωμένου Βασιλείου».

Το δικαστήριο θεωρεί περαιτέρω την Clearview και τους πελάτες της ως από κοινού υπεύθυνους επεξεργασίας για αυτόν τον κατασταλτικό σκοπό.

Η συλλογιστική του δικαστηρίου έχει πυροδοτήσει πολλές συζητήσεις μεταξύ των εμπειρογνωμόνων σε θέματα προστασίας δεδομένων σχετικά με την ιδιότητα των από κοινού υπευθύνων επεξεργασίας και τη μη εφαρμογή του ευρωπαϊκού ή/και βρετανικού δικαίου στη συγκεκριμένη περίπτωση.

• Στις αρχές Οκτωβρίου, το AI chatbot της Snap προσέλκυσε την προσοχή του ICO.

Η APD ανακοίνωσε ότι εξέδωσε προκαταρκτική ειδοποίηση επιβολής κατά της Snap για αυτό που περιγράφει ως «πιθανή αποτυχία ορθής αξιολόγησης των κινδύνων απορρήτου που θέτει το chatbot της 'My AI'».

Ένας αυξανόμενος αριθμός αρχών προστασίας δεδομένων, όπως αυτές στο Ηνωμένο Βασίλειο και την Ιταλία, αναλαμβάνουν τις ευθύνες των ρυθμιστικών αρχών τεχνητής νοημοσύνης.

 

• Η Παγκόσμια Συνέλευση για την Προστασία Προσωπικών Δεδομένων (GPA) πραγματοποίησε το ετήσιο συνέδριό της στα μέσα Οκτωβρίου στις Βερμούδες.

Οι αρχές συζήτησαν την εφαρμογή των κανονισμών περί απορρήτου στην Τεχνητή Νοημοσύνη και στις 20 Οκτωβρίου ενέκριναν ψήφισμα σχετικά με την παραγωγική Τεχνητή Νοημοσύνη.

Το ψήφισμα έρχεται καθώς οι ηγέτες της G7 υιοθέτησαν στις 30 Οκτωβρίου διεθνείς κατευθυντήριες αρχές για την τεχνητή νοημοσύνη (ΤΝ) και έναν εθελοντικό κώδικα δεοντολογίας για τους προγραμματιστές ΤΝ, στο πλαίσιο της διαδικασίας της Χιροσίμα για την ΤΝ.

• Οι Ηνωμένες Πολιτείες δημοσιεύουν επίσης ένα διάταγμα για την Τεχνητή Νοημοσύνη και ένα εγχειρίδιο διαχείρισης κινδύνων για την Τεχνητή Νοημοσύνη στις 30 Οκτωβρίου, ενώ το Ηνωμένο Βασίλειο διοργανώνει μια σύνοδο κορυφής για την ασφάλεια της Τεχνητής Νοημοσύνης στις 2 Νοεμβρίου.
• Το γραφείο του Επιτρόπου Προστασίας Προσωπικών Δεδομένων της Νέας Ζηλανδίας δημοσίευσε έναν οδηγό για την ανάπτυξη και χρήση συστημάτων τεχνητής νοημοσύνης σύμφωνα με τις Αρχές Προστασίας Προσωπικών Δεδομένων (PPP).
• Ο Καναδάς δημοσίευσε επίσης έναν κώδικα δεοντολογίας τον Σεπτέμβριο για προγραμματιστές και διαχειριστές προηγμένων συστημάτων γενετικής τεχνητής νοημοσύνης.

Ο κώδικας προσδιορίζει μέτρα που πρέπει να εφαρμοστούν για τον μετριασμό των κινδύνων που σχετίζονται με αυτά τα συστήματα, με βάση έξι θεμελιώδεις αρχές: υπευθυνότητα, ασφάλεια, δικαιοσύνη/ισότιμη μεταχείριση, διαφάνεια, ανθρώπινη εποπτεία, εγκυρότητα/ευρωστία των συστημάτων.

• Ηνωμένες Πολιτείες: Γενικοί εισαγγελείς από 41 πολιτείες των ΗΠΑ ένωσαν τις δυνάμεις τους για να καταθέσουν αγωγή κατά του Meta, ισχυριζόμενοι ότι οι πλατφόρμες κοινωνικής δικτύωσης Instagram και Facebook είναι εθιστικές και επιβλαβείς για τα παιδιά.

Η αγωγή κατηγορεί την Meta ότι συλλέγει επανειλημμένα και συστηματικά πληροφορίες για παιδιά κάτω των 13 ετών και ότι δεν ενημέρωσε ή δεν έλαβε τη γονική συναίνεση σχετικά με τη χρήση τους.

• Η Καλιφόρνια δημοσίευσε στις 12 Οκτωβρίου 2023 νομοσχέδιο που ρυθμίζει τους μεσίτες δεδομένων και τροποποιεί τον ισχύοντα νόμο του 2018 (CCPA).

Το κείμενο ορίζει ότι οι μεσίτες δεδομένων πρέπει να εγγραφούν στην υπηρεσία προστασίας δεδομένων και να της παρέχουν πιο λεπτομερείς πληροφορίες σχετικά με τα μεμονωμένα αιτήματα, τη συλλογή ορισμένων πληροφοριών και τον υποχρεωτικό έλεγχο της συμμόρφωσής τους με το νόμο.

Το έργο δημιουργεί επίσης έναν μηχανισμό που επιτρέπει στα άτομα να ζητούν από όλους τους μεσίτες δεδομένων να διαγράψουν τα προσωπικά τους στοιχεία.

• Η υπηρεσία γενετικών εξετάσεων 23andMe υπέστη παραβίαση δεδομένων.

Ένας χάκερ δημοσίευσε τις γενετικές πληροφορίες τεσσάρων εκατομμυρίων χρηστών στο φόρουμ για το κυβερνοέγκλημα BreachForums.

Αυτό το περιστατικό έρχεται μετά από μια άλλη διαρροή που σημειώθηκε στις αρχές Οκτωβρίου.

• Στα Ηνωμένα Αραβικά Εμιράτα, το Υπουργείο Τεχνητής Νοημοσύνης, Ψηφιακής Οικονομίας και Εφαρμογών Τηλεργασίας δημοσιεύει μια λευκή βίβλο με τίτλο «Πλαίσιο Αυτοδιοίκησης για ένα Υπεύθυνο Μετασύμπαν».